Тэвис Ормэнди, член инициативы Ноля Проекта Google, обнаружил серию слабых мест в продуктах безопасности Symantec. Из-за природы этих недостатков, они затрагивают большое количество продуктов Symantec, и не все может быть исправлен через автоматические обновления.

«Эти слабые места так плохи, как это добирается», пишет Ормэнди в блоге Google. «Они не требуют никакого пользовательского взаимодействия, они затрагивают конфигурацию по умолчанию и пробеги программного обеспечения на самых высоких возможных уровнях привилегии. В определенных случаях на Windows уязвимый кодекс даже загружен в ядро, приводящее к удаленному ядерному повреждению памяти».

Уязвимый кодекс, к которому обращается Ormandy, является частью ASPack, коммерческая упаковочная часть программного обеспечения, которую использование Symantec, чтобы проанализировать файлы просмотрело для вредоносного программного обеспечения.

Управление кодексом в ядре всегда является плохой идеей

Ормэнди говорит, что ошибка Symantec состояла в том, чтобы управлять этим компонентом в ядре операционной системы под самой высокой доступной привилегией. Уязвимость в этом компоненте дает нападавшему золотой билет полному контролю над системой без потребности во втором этапном деянии, чтобы нарастить их доступ.

Помимо этого основного вопроса, CVE-2016-2208, исследователь также утверждает, что нашел несколько переполнения буфера стека и проблем повреждения памяти.

Исследователь также обнаружил, что Symantec пользовалась общедоступными библиотеками в своих продуктах, таких как libmspack и unrarsrc, но забыла обновлять их в течение прошлых семи лет. Нападавший должен был бы только использовать одну из публично известных проблем для этих инструментов.

Эксплуатация тривиальна, ошибки затрагивают несколько продуктов на всех платформах

Эксплуатация некоторых из этих проблем тривиальна, по данным Ormandy, который заявляет, что некоторые не требуют пользовательского взаимодействия, и некоторые даже wormable, способность распространиться к другим соседним устройствам самостоятельно.

Нападавший должен был бы только послать электронное письмо цели, содержащей злонамеренный файл, который эксплуатирует одну из этих проблем. Кроме того, нападавший мог вести их кодекс деяния онлайн и включить связь со злонамеренным URL в электронной почте.

Список затронутых продуктов включает большое количество более старых, наследие продукты Нортона, Защита Конечной точки Symantec, почтовая безопасность Symantec, Двигатель Защиты Symantec, Защита Symantec для Серверов SharePoint и многих другой больше. Во всех случаях слабые места кросс-платформенные. Symantec выпустила участки для всех затронутых продуктов.

В мае Ormandy помог Symantec заткнуть другую дыру безопасности в своем продукте. Помимо Symantec, в прошлом исследователь нашел ошибки в программном обеспечении продавцов безопасности, такие как FireEye, ESET, Kaspersky, Bromium, Trend Micro, Comodo, Malwarebytes, Стой, и В СРЕДНЕМ.