[Warning] Kritische Sicherheitslücke in Symantec Anti-Virus Engine - Patch verfügbar
Alexander Riepl
riepl at cert.at
Wed May 18 09:02:44 CEST 2016
Update: Kritische Sicherheitslücke in Symantec Anti-Virus Engine - Patch
verfügbar
18. Mai 2016
Beschreibung
Symantec hat [1]bekanntgegeben, dass es aktuell eine kritische
Sicherheitslücke in der Symantec Anti-Virus Engine gibt. Die Lücke
befindet sich im Parser fuer die Header von portable executable (PE)
Dateien, welche klassischerweise in der Form von .exe-Dateien zu finden
sind.
Auswirkungen
Durch Ausnützen dieser Lücke kann ein Angreifer laut Symantec die
Kontrolle über betroffene Systeme übernehmen. Damit sind alle Daten auf
diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login,
VPN etc.) Daten und Systeme gefährdet.
Besonders kritisch ist hierbei, dass der Code, in welchem sich diese
Lücke befindet, in den meisten Fällen im Kernel-Mode ausgeführt wird,
was bedeutet, dass dieser uneingeschränkte Rechte hat.
Aufgrund der Natur dieser Schwachstelle ist es unter Umständen nicht
einmal notwendig, potentiellen Schadcode aktiv auszuführen, es reicht
schon die betroffene Datei abzuspeichern.
Betroffene Systeme
Systeme, auf denen Software von Symantec / Norton installiert ist,
welche die Anti-Virus Engine nutzen.
Symantec selbst stellt keine Liste der betroffenen Produkte bereit,
laut dem [2]Bericht des Sicherheitsforschers Tavis Ormandy - welcher
die Lücke entdeckt hat - sind die folgenden Produkte betroffen:
* Symantec Endpoint Antivirus (alle Plattformen)
* Norton Antivirus (alle Plattformen)
* Symantec Scan Engine (alle Plattformen)
* Symantec Email Security (alle Plattformen)
* "..and probably all other Symantec Antivirus products."
Abhilfe
Symantec hat ein Update der Anti-Virus Engine auf Version 20151.1.1.4
bereitgestellt, in welcher die Schwachstelle behoben ist.
Laut Symantec verfügen alle Enterprise-Produkte (zu denen auch Norton
Antivirus füf Privatnutzer gezählt wird) ueber eine
"LiveUpdate"-Funktion, die das Update bereits automatisiert eingespielt
haben sollte. Laut dem offiziellen Advisory ist es auch möglich, diesen
Updatevorgang manuell anzustoßen, die jeweiligen Schritte entnehmen Sie
bitte Ihrer Produktdokumentation.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen,
sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu
halten.
__________________________________________________________________
Informationsquelle(n):
Symantec Security Advisory (englisch)
[1]https://www.symantec.com/security_response/securityupdates/detail.js
p?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160516_
00
Google Project Zero (englisch)
[2]https://bugs.chromium.org/p/project-zero/issues/detail?id=820
tps://bugs.chromium.org/p/project-zero/issues/detail?id=820
--
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160518/1b429d27/attachment.sig>
More information about the Warning
mailing list