Symantec dicht kwetsbaarheid voor kwaadaardige rar-containers

Symantec heeft twee lekken gedicht, die het voor aanvallers mogelijk maakten om via een kwaadaardige rar-container een denial of service-aanval uit te voeren. De kwetsbaarheden waren aanwezig in een groot aantal beveiligingsproducten van het bedrijf, waaronder Norton-software.

Symantec schrijft dat de lekken, met kenmerken cve-2016-5310 en cve-2016-5309, een gematigd beveiligingsrisico met zich meebrengen. Dit komt voort uit het feit dat een aanvaller alleen een dos-aanval zou kunnen uitvoeren, waardoor de getroffen Symantec-software niet meer werkt. Google-onderzoeker Tavis Ormandy, die de lekken heeft ontdekt, laat echter via Twitter weten dat hij het niet eens is met de inschatting van Symantec. Volgens hem maken de lekken het op afstand uitvoeren van code mogelijk, waardoor deze als ernstig moeten worden beschouwd.

Ormandy stelt dat Symantec een zeer oude versie van de tool 'unrarsrc' in zijn producten heeft opgenomen en het heeft nagelaten om de software te updaten. In een inmiddels publiek geworden bericht op de Chromium-bugtracker schrijft Ormandy dat de verouderde versie van de software voor het uitpakken van bestanden veel verschillende openbare kwetsbaarheden bevat. Op dezelfde pagina stelt de beveiligingsonderzoeker ook twee proof of concepts beschikbaar in de vorm van twee zip-bestanden.

In juni had Ormandy andere ernstige lekken in Symantec-producten gevonden. Destijds beschreef hij dat de kwetsbaarheden in te zetten zijn door een slachtoffer bijvoorbeeld een kwaadaardig bestand toe te sturen. Omdat de Symantec-software e-mailbijlagen automatisch scant, zou infectie kunnen optreden zonder interactie van het slachtoffer. Symantec meldt in zijn bericht welke softwareproducten via Live Update worden bijgewerkt en welke een handmatige patch nodig hebben.

IT-banen

Reacties (11)

wiert.tweakers 21 september 2016 15:08

Norton is niet de enige en Symantec staat hierin niet alleen.

Het grootste probleem in dit geval is dat het probleem sinds juni publiek bekend was (ik heb er vorige week naar verwezen vanuit https://wiert.me/2016/09/...d-tools-for-many-formats/ na 3 maanden was ik het wachten op Symantec een beetje zat).

https://googleprojectzero...-enterprise-endpoint.html

<<
As Symantec use the same core engine across their entire product line, all Symantec and Norton branded antivirus products are affected by these vulnerabilities, including:

Norton Security, Norton 360, and other legacy Norton products (All Platforms)
Symantec Endpoint Protection (All Versions, All Platforms)
Symantec Email Security (All Platforms)
Symantec Protection Engine (All Platforms)
Symantec Protection for SharePoint Servers
And so on.

CAPSLOCK2000

Security
Netwerk en systeembeheer

21 september 2016 23:12

En het ontdekken dát de source in zo'n pakket zit.

Het is een groot probleem, niet zo zeer dit specifieke geval, als wel het algemene verschijnsel dat er een hoop software is die allerlei third-party software/libraries gebruikt die vervolgens nooit meer worden bijgewerkt. Vergelijkbaar is dat er ontzettend veel websites draaien met een antieke versie van bv jquery, de beheerder weet waarschijnlijk niet eens dat z'n CMS onder de motorkap een kopietje van jquery heeft.

In de Linux-wereld wordt van packagers verwacht dat ze "embedded libs" verwijderen en vervangen door de stand-alone versie van die libjes die apart gepackeged zijn. Dat kan echter een heel vervelend klusje zijn en het geeft soms compatibility-problemen, maar het is de enige manier om dit soort tijdbommen te voorkomen.

[Reactie gewijzigd door CAPSLOCK2000 op 29 juli 2024 13:34]

BorgMan 21 september 2016 10:54

Klinkt een beetje als computer HIV: de beveiliging van iemand's eigen computer gebruiken om hem te infecteren. Ik moet de makers nageven dat het wel een sterk staaltje is.

FreshMaker @BorgMan • 21 september 2016 11:00

Voor beide kampen that is.
Ten eerste om je als virusmaker te kunnen toespitsen op het gegeven dat er een verouderde source gebruikt is om archieven te openen ( met als bijzaak, dat niet iedereen dezelfde antivirus gebruikt )
En het ontdekken dát de source in zo'n pakket zit.

Ik ben aardig onderlegd in het wel en wee van informatica, maar ben de eerste die moet toegeven niet verder te komen dan een pakket door een online/offline scanner te halen om te kijken of het kwaad zou kunnen.

Eenmaal geïnstalleerd is het vaak 'vergeten' en drijf je verder op het idee dat de initial scans 'schoon' waren.
Ik ga er niet van uit dat juist mijn bescherming achteraf misbruikt zou kunnen worden, ondanks regelmatige updates

Al moet ik ook opmerken dat er tegenwoordig maar 'weinig' geïnstalleerd wordt, behalve de usual suspects.
* FreshMaker is trots om te zeggen dat sinds een paar jaar alles netjes voldoet aan de licenties en aanschaf ( software, that is

)

[Reactie gewijzigd door FreshMaker op 29 juli 2024 13:34]

gast128 @FreshMaker • 21 september 2016 11:40

Offtopic: dat geldt voor iedereen denk ik. De tijd dat ik nog wist wat alle services deden is na Windows NT 4 opgehouden.

Dit is overigens wel schandalig. Een anti virus software pakket grijpt invasief op je systeem in en hoort daardoor zijn zaakjes extra op orde te hebben. Als ik de links goed begrijp hebben ze gewoon een stukje RAR code opgenomen zonder het precies te begrijpen of te updaten. Die zaak laten ze ook nog eens in kernel mode draaien met alle risico's van dien.

R4gnax @gast128 • 21 september 2016 19:35

Dit is overigens wel schandalig. Een anti virus software pakket grijpt invasief op je systeem in en hoort daardoor zijn zaakjes extra op orde te hebben.

Dit is helaas gewoon de status quo. Beveiligingsonderzoekers klagen echt al jaren over de laksheid van de grote antivirus-boeren als het op de beveiliging van hun eigen producten aan komt.

In meer recente jaren zijn ook de browser bouwers aan die tafel aangeschoven, omdat blijkt dat de 'extra browser bescherming' die veel antivirus suites in de vorm van extensions of plugins bieden, vaak op een incorrecte en onvelige manier gebouwd zijn. Daardoor wordt het juist makkelijker voor kwaadwillenden om bijv. uit een ingebouwde sandbox te ontsnappen.

(Als dat soort programmatuur al niet de browser zo instabiel als de pest maakt of de performance compleet om zeep helpt. McAfee is daar zo'n beetje poster-child voor.)

[Reactie gewijzigd door R4gnax op 29 juli 2024 13:34]

RoyD @FreshMaker • 21 september 2016 11:33

Unrar mag je zo opnemen in je code. Echter voor de Rar functionaliteit ben je licentiegelden verschuldigd.

FreshMaker @RoyD • 21 september 2016 12:23

Ik doelde meer op mijn eigen systemen, dat daar alles nu voorzien was van 'legale' software.
Iets waar een dikke vijf jaar geleden het meeste nog aan elkaar hing van hacks, patches en cracks inclusief voor Windows, is na die tijd de boel op orde.

Dat een externe partij wel of geen licenties afdraagt, zie ik niet als mijn verantwoordelijkheid.

Wim-Bart 21 september 2016 16:17

Pffffffff en weer een weekeinde naar de klote als mijn vakantie voorbij is. Net bijgekomen van de vorige patchronde

Verwijderd 21 september 2016 11:42

Edit:
Oeps, niet goed gelezen, was verontwaardigd dat Norton nu pas na bleek te denken over het controleren/sandboxen van rar bestanden, maar het is nog vele malen erger...

Hoop dat iedereen dit aanpakt om de baas etc nog maar weer eens te proberen te overtuigen om Norton de deur uit te doen, wat een belachelijk slecht product blijft het toch.

[Reactie gewijzigd door Verwijderd op 29 juli 2024 13:34]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (11)

Sorteer op:

Weergave: