Знаменитый антивирус получил оценку «хуже не бывает»

Безопасность Администратору Стратегия безопасности Пользователю
мобильная версия
, Текст: Сергей Попсулин

Почти все продукты Symantec, крупнейшего разработчика антивирусов, содержат уязвимости, которые позволяют хакеру дистанционно выполнить в системе произвольный код либо получить права администратора. Проблема касается Windows, Mac, Unix и Linux.


Уязвимости почти во всех продуктах

Практически все продукты антивирусной компании Symantec, крупнейшего мирового разработчика защитного ПО, содержат уязвимости, которые позволяют злоумышленнику дистанционно выполнить в системе произвольный код либо получить права администратора, сообщает Google. Исследователи компании охарактеризовали ситуацию как «хуже не бывает».

Проблема актуальна для операционных систем Microsoft Windows, Apple OS X и прочих Unix-подобных платформ, а также для операционных систем с ядром Linux.

Распаковщик исполняемых файлов

Первая уязвимость содержится в распаковщике исполняемых файлов, сжатых посредством ASPack. ASPack — приложение, которое позволяет на 70% сократить размер исполняемого файла, что позволяет уменьшить время загрузки файла и сэкономить сетевой трафик, при этом пользователь не заметит замедления скорости запуска файла. 

Symantec интегрировала распаковщик файлов в свое программное ядро, которое использует во множестве своих продуктов. Это как продукты для корпоративных заказчиков, так и для частных пользователей.

Список уязвимых продуктов

Вот список продуктов, содержащих указанную уязвимость: Norton Security, Norton 360 и прочие продукты под брендом Norton (все платформы), Symantec Endpoint Protection (все версии и все платформы), Symantec Email Security (все платформы), Symantec Protection Engine (все платформы), Symantec Protection for SharePoint Servers и пр.

Уязвимости есть почти во всех продуктах Symantec

Некоторые из упомянутых решений не поддерживают автоматическое  обновление. Поэтому администраторам рекомендуется немедленно предпринять шаги по устранению уязвимости в них. Компания Symantec опубликовала для этого инструкцию на своем сайте

Суть уязвимости

Воспользовавшись уязвимостью (ей присвоен номер CVE-2016-2208 в системе Common Vulnerabilities and Exposures), злоумышленник может вызвать переполнение буфера. А поскольку распаковщик находится в ядре, это позволяет вызвать сбой в оперативной памяти на уровне ядра. Сделать это можно только на системах под управлением Windows, отметили исследователи. 

Интеграция распаковщика в программное ядро — не лучшая идея, прокомментировали в Google. Более того, сжатие исполняемых файлов само по себе небезопасно, так как антивирусам слишком сложно их проверить, и их разработчики, такие как Symantec, идут на различные приемы, которые делают уязвимым их собственное программное обеспечение.

Вторая уязвимость

Еще одна уязвимость (CVE-2016-2209) содержится в механизме анализа файлов Microsoft Word, который выполняет извлечение метаданных и макросов из файлов PowerPoint и других документов. Во время работы этого механизма данные кэшируются для получения более высокой производительности. Исследователи нашли способ манипулирования кэшем, что также позволило вызвать переполнение буфера. Они опубликовали код эксплойта в открытом доступе.

«Это 100-процентно рабочий эксплойт для удаленного взлома системы, который работает при стандартных настройках Norton Antivirus и Symantec Endpoint. Эксплойт можно доставить пользователю в письме либо разместить на каком-нибудь сайте. Поскольку уязвимость находится в движке, проблема касается всех продуктов под товарными знаками Symantec и Norton», — рассказали в Google.

В список уязвимых продуктов входят: Norton Antivirus (Mac, Windows), Symantec Endpoint (Mac, Windows, Linux, Unix), Symantec Scan Engine (все платформы), Symantec Cloud/NAS Protection Engine (все платформы), Symantec Email Security (все платформы), Symantec Protection for SharePoint/Exchange/Notes/и т. д. (все платформы), все прочие продукты Symantec/Norton Carrier, Enterprise, SMB, Home и т. д.

Project Zero

Уязвимости были обнаружены исследователям Project Zero — проекта корпорации Google, запущенного в июле 2014 г. Данная инициатива уже вызвала недовольство Microsoft, которая не успела выпустить патчи для уязвимостей до того, как Google опубликовала коды эксплойтов. По словам представителей Google, они всегда сначала предупреждают о «дырах» разработчиков программного обеспечения, а уже затем публикуют эксплойты — спустя 90 дней после предупреждения.