[Warning] Kritische Sicherheitslücken in Symantec/Norton Antivirus und Sicherheits-Produkten - Patches verfügbar
Robert Waldner
waldner at cert.at
Wed Jun 29 09:56:14 CEST 2016
29. Juni 2016
Beschreibung
Der Sicherheitsforscher Tavis Ormandy (Google Project Zero) und
Symantec haben bekannt gegeben, dass es in vielen Symantec/Norton
Produkten teils gravierende Sicherheitslücken gibt:
*
https://googleprojectzero.blogspot.co.at/2016/06/how-to-compromise-enterprise-endpoint.html
*
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
CVE-Nummern: CVE-2016-2208 (laut Tavis Ormandy), sowie CVE-2016-2207,
CVE-2016-2209, CVE-2016-2210, CVE-2016-2211, CVE-2016-3644,
CVE-2016-3645, CVE-2016 -3646 (laut Symantec)
CVSS2 Base Scores (laut Symantec): bis 9.0
Auswirkungen
Durch Ausnützen mancher dieser Lücken kann ein Angreifer die
Kontrolle über betroffene Systeme übernehmen. Damit sind alle Daten
auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch
Login, VPN etc.) Daten und Systeme gefährdet.
Besonders kritisch ist hierbei, dass der Code, in welchem sich
zumindest eine dieser Lücken befindet, in manchen Fällen im
Kernel-Mode ausgeführt wird, was bedeutet, dass dieser
uneingeschränkte Rechte hat.
Aufgrund der Natur dieser Schwachstellen ist es unter Umständen nicht
einmal notwendig, potentiellen Schadcode aktiv auszuführen: Es reicht
schon, eine entsprechend präparierte Datei an oder durch ein
betroffenes System zu senden (etwa per Email). User-Interaktion ist
in solchen Fällen nicht nötig.
Betroffene Systeme
Systeme, auf denen folgende Software von Symantec / Norton
installiert ist:
* Laut Tavis Ormandy:
+ Norton Security, Norton 360, and other legacy Norton
products (All Platforms)
+ Symantec Endpoint Protection (All Versions, All Platforms)
+ Symantec Email Security (All Platforms)
+ Symantec Protection Engine (All Platforms)
+ Norton Antivirus (Mac, Windows)
+ Symantec Endpoint (Mac, Windows, Linux, UNIX)
+ Symantec Scan Engine (All Platforms)
+ Symantec Cloud/NAS Protection Engine (All Platforms)
+ Symantec Protection for SharePoint/Exchange/Notes/etc (All
Platforms)
+ All other Symantec/Norton Carrier, Enterprise, SMB, Home,
etc antivirus products
* Laut Symantec:
+ Advanced Threat Protection (ATP)
+ Symantec Data Center Server (SDCS:SA), 6.6 MP1 und 6.5 MP1
+ Symantec Critical System Protection (SCSP), 5.2.9 MP6
+ Symantec Embedded Systems Critical System Protection
(SES:CSP), 1.0 MP5 und 6.5.0 MP1
+ Symantec Web Security .Cloud
+ Email Security Server .Cloud (ESS)
+ Symantec Web Gateway
+ Symantec Endpoint Protection (SEP), 12.1.6 MP4 und älter
+ Symantec Endpoint Protection for Mac (SEP for Mac), 12.1.6
MP4 und älter
+ Symantec Endpoint Protection for Linux (SEP for Linux),
12.1.6 MP4 und älter
+ Symantec Protection Engine (SPE), 7.0.5 und älter, 7.5.4 und
älter, 7.8.0
+ Symantec Protection for SharePoint Servers (SPSS), 6.06 und
älter
+ Symantec Mail Security for Microsoft Exchange (SMSMSE),
7.0.4 und älter, 7.5.4 und älter
+ Symantec Mail Security for Domino (SMSDOM), 8.0.9 und
älter, 8.1.3 und älter
+ CSAPI, 10.0.4 und älter
+ Symantec Message Gateway (SMG), 10.6.1-3 und älter
+ Symantec Message Gateway for Service Providers (SMG-SP),
10.5 und 10.6
+ Norton Product Family, Norton AntiVirus, Norton Security,
Norton Security with Backup, Norton Internet Security,
Norton 360 - jeweils vor NGC 22.7
+ Norton Security for Mac, alle Versionen vor 13.0.2
+ Norton Power Eraser (NPE), alle Versionen vor 5.1
+ Norton Bootable Removal Tool (NBRT), alle Versionen vor
2016.1
Symantec bietet auf der unten angeführten Seite auch
Hilfestellung zum Herausfinden der jeweiligen Versionen und
Anweisungen, wie die jeweiligen Updates zu erhalten/einzupflegen
sind.
Abhilfe
Update auf die zur Verfügung gestellten aktualisierten Versionen.
Laut Symantec verfügen viele der betroffenen Produkte über eine
"LiveUpdate"-Funktion, die das Update bereits automatisiert
eingespielt haben sollte. Wir empfehlen *dringend*, nachzuprüfen
ob dies auch wie vorgesehen funktioniert hat.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.
______________________________________________________________
Informationsquelle(n):
Symantec Security Advisory (englisch)
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
Tavis Ormandy (Google Project Zero) (englisch)
https://googleprojectzero.blogspot.co.at/2016/06/how-to-compromise-enterprise-endpoint.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160629/8288ef90/attachment.sig>
More information about the Warning
mailing list