Чуть больше месяца назад специалисту безопасности Тэвису Орманди из Google удалось найти уязвимость во многих продуктах компании Symantec. Дыра под кодовым номером CVE-2016-2208 заключалась в обычном переполнении буфера памяти: достаточно было запаковать exe файл архиватором AsPack и антивирус выделит в памяти места меньше, чем реальный размер программы. В результате этой бреши злоумышленник получает возможность исполнять произвольный код, при этом используются административные привилегии систем, а в случае Windows - права системного ядра.

Уязвимость переполнения буфера в Symantec
Уязвимость переполнения буфера в Symantec

Несмотря на то, что антивирусной компанией был выпущен патч, закрывающий уязвимость, история получила продолжение.

Буквально на днях были открыты аналогичные уязвимости только уже в других типах файлов: это различные типы архивов и использование библиотек для сжатия файлов. К примеру, презентации от Microsoft тоже могут спровоцировать атаку.

Критичность уязвимости добавляет то, что злоумышленникам не нужен прямой доступ к компьютерам с уязвимым симантеком: достаточно отослать письмо со вложением, антивирус начнет проверять почту и процесс взлома начнется.

Итак, уязвимости переполнения памяти через RAR, библиотеки Dec2SS и Dec2LHA, архивы CAB и ZIP, модификация MIME сообщений и интеграция в TNEF получили соотвественно индексы уязвимостей CVE-2016-2207, CVE-2016-2209, CVE-2016-2210, CVE-2016-2211, CVE-2016-3646, CVE-2016-3644, CVE-2016-3645.

На данный момент все уязвимости были исправлены, выпущены патчи для их устранения и обновления уже прилетели пользователям. Всем пользователям продуктов  Symantec советуется проверить наличие обновлений, особенно, если привыкли обновлять вручную.

Посмотрим, на этот раз окончательно исправлена проблема с переполнением буфера, и сотрудники компании сделали толковую фильтрацию входящих данных, или же через некоторое время ситуация повторится.

Добавить комментарий