[Warning] Kritische Sicherheitslücken in Symantec/Norton Antivirus und Sicherheits-Produkten - Patches verfügbar

Robert Waldner waldner at cert.at
Wed Jun 29 09:56:14 CEST 2016 

29. Juni 2016

Beschreibung

   Der Sicherheitsforscher Tavis Ormandy (Google Project Zero) und
   Symantec haben bekannt gegeben, dass es in vielen Symantec/Norton
   Produkten teils gravierende Sicherheitslücken gibt:
     *
https://googleprojectzero.blogspot.co.at/2016/06/how-to-compromise-enterprise-endpoint.html
     *
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00

   CVE-Nummern: CVE-2016-2208 (laut Tavis Ormandy), sowie CVE-2016-2207,
   CVE-2016-2209, CVE-2016-2210, CVE-2016-2211, CVE-2016-3644,
   CVE-2016-3645, CVE-2016 -3646 (laut Symantec)

   CVSS2 Base Scores (laut Symantec): bis 9.0

Auswirkungen

   Durch Ausnützen mancher dieser Lücken kann ein Angreifer die
   Kontrolle über betroffene Systeme übernehmen. Damit sind alle Daten
   auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch
   Login, VPN etc.) Daten und Systeme gefährdet.

   Besonders kritisch ist hierbei, dass der Code, in welchem sich
   zumindest eine dieser Lücken befindet, in manchen Fällen im
   Kernel-Mode ausgeführt wird, was bedeutet, dass dieser
   uneingeschränkte Rechte hat.

   Aufgrund der Natur dieser Schwachstellen ist es unter Umständen nicht
   einmal notwendig, potentiellen Schadcode aktiv auszuführen: Es reicht
   schon, eine entsprechend präparierte Datei an oder durch ein
   betroffenes System zu senden (etwa per Email). User-Interaktion ist
   in solchen Fällen nicht nötig.

Betroffene Systeme

   Systeme, auf denen folgende Software von Symantec / Norton
   installiert ist:
     * Laut Tavis Ormandy:
          + Norton Security, Norton 360, and other legacy Norton
            products (All Platforms)
          + Symantec Endpoint Protection (All Versions, All Platforms)
          + Symantec Email Security (All Platforms)
          + Symantec Protection Engine (All Platforms)
          + Norton Antivirus (Mac, Windows)
          + Symantec Endpoint (Mac, Windows, Linux, UNIX)
          + Symantec Scan Engine (All Platforms)
          + Symantec Cloud/NAS Protection Engine (All Platforms)
          + Symantec Protection for SharePoint/Exchange/Notes/etc (All
            Platforms)
          + All other Symantec/Norton Carrier, Enterprise, SMB, Home,
            etc antivirus products
     * Laut Symantec:
          + Advanced Threat Protection (ATP)
          + Symantec Data Center Server (SDCS:SA), 6.6 MP1 und 6.5 MP1
          + Symantec Critical System Protection (SCSP), 5.2.9 MP6
          + Symantec Embedded Systems Critical System Protection
            (SES:CSP), 1.0 MP5 und 6.5.0 MP1
          + Symantec Web Security .Cloud
          + Email Security Server .Cloud (ESS)
          + Symantec Web Gateway
          + Symantec Endpoint Protection (SEP), 12.1.6 MP4 und älter
          + Symantec Endpoint Protection for Mac (SEP for Mac), 12.1.6
            MP4 und älter
          + Symantec Endpoint Protection for Linux (SEP for Linux),
            12.1.6 MP4 und älter
          + Symantec Protection Engine (SPE), 7.0.5 und älter, 7.5.4 und
            älter, 7.8.0
          + Symantec Protection for SharePoint Servers (SPSS), 6.06 und
            älter
          + Symantec Mail Security for Microsoft Exchange (SMSMSE),
            7.0.4 und älter, 7.5.4 und älter
          + Symantec Mail Security for Domino (SMSDOM), 8.0.9 und
            älter, 8.1.3 und älter
          + CSAPI, 10.0.4 und älter
          + Symantec Message Gateway (SMG), 10.6.1-3 und älter
          + Symantec Message Gateway for Service Providers (SMG-SP),
            10.5 und 10.6
          + Norton Product Family, Norton AntiVirus, Norton Security,
            Norton Security with Backup, Norton Internet Security,
            Norton 360 - jeweils vor NGC 22.7
          + Norton Security for Mac, alle Versionen vor 13.0.2
          + Norton Power Eraser (NPE), alle Versionen vor 5.1
          + Norton Bootable Removal Tool (NBRT), alle Versionen vor
            2016.1

       Symantec bietet auf der unten angeführten Seite auch
       Hilfestellung zum Herausfinden der jeweiligen Versionen und
       Anweisungen, wie die jeweiligen Updates zu erhalten/einzupflegen
       sind.


Abhilfe

      Update auf die zur Verfügung gestellten aktualisierten Versionen.

       Laut Symantec verfügen viele der betroffenen Produkte über eine
       "LiveUpdate"-Funktion, die das Update bereits automatisiert
       eingespielt haben sollte. Wir empfehlen *dringend*, nachzuprüfen
       ob dies auch wie vorgesehen funktioniert hat.

Hinweis

       Generell empfiehlt CERT.at, wo möglich die "automatisches
       Update"-Features von Software zu nutzen, für alle Arten von
       Browser-Plugins (Flash, Java, ...) auf die
       "Click-to-play"-Funktionalitäten von Internet-Browsern
       zurückzugreifen, sowie parallel Firewall-Software aktiv und den
       Virenschutz aktuell zu halten.
         ______________________________________________________________

Informationsquelle(n):
       Symantec Security Advisory (englisch)

https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
       Tavis Ormandy (Google Project Zero) (englisch)

https://googleprojectzero.blogspot.co.at/2016/06/how-to-compromise-enterprise-endpoint.html

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160629/8288ef90/attachment.sig>

More information about the Warning mailing list