Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 11 reacties

Symantec heeft twee lekken gedicht, die het voor aanvallers mogelijk maakten om via een kwaadaardige rar-container een denial of service-aanval uit te voeren. De kwetsbaarheden waren aanwezig in een groot aantal beveiligingsproducten van het bedrijf, waaronder Norton-software.

SymantecSymantec schrijft dat de lekken, met kenmerken cve-2016-5310 en cve-2016-5309, een gematigd beveiligingsrisico met zich meebrengen. Dit komt voort uit het feit dat een aanvaller alleen een dos-aanval zou kunnen uitvoeren, waardoor de getroffen Symantec-software niet meer werkt. Google-onderzoeker Tavis Ormandy, die de lekken heeft ontdekt, laat echter via Twitter weten dat hij het niet eens is met de inschatting van Symantec. Volgens hem maken de lekken het op afstand uitvoeren van code mogelijk, waardoor deze als ernstig moeten worden beschouwd.

Ormandy stelt dat Symantec een zeer oude versie van de tool 'unrarsrc' in zijn producten heeft opgenomen en het heeft nagelaten om de software te updaten. In een inmiddels publiek geworden bericht op de Chromium-bugtracker schrijft Ormandy dat de verouderde versie van de software voor het uitpakken van bestanden veel verschillende openbare kwetsbaarheden bevat. Op dezelfde pagina stelt de beveiligingsonderzoeker ook twee proof of concepts beschikbaar in de vorm van twee zip-bestanden.

In juni had Ormandy andere ernstige lekken in Symantec-producten gevonden. Destijds beschreef hij dat de kwetsbaarheden in te zetten zijn door een slachtoffer bijvoorbeeld een kwaadaardig bestand toe te sturen. Omdat de Symantec-software e-mailbijlagen automatisch scant, zou infectie kunnen optreden zonder interactie van het slachtoffer. Symantec meldt in zijn bericht welke softwareproducten via Live Update worden bijgewerkt en welke een handmatige patch nodig hebben.

Moderatie-faq Wijzig weergave

Reacties (11)

Norton is niet de enige en Symantec staat hierin niet alleen.

Het grootste probleem in dit geval is dat het probleem sinds juni publiek bekend was (ik heb er vorige week naar verwezen vanuit https://wiert.me/2016/09/...d-tools-for-many-formats/ na 3 maanden was ik het wachten op Symantec een beetje zat).

https://googleprojectzero...-enterprise-endpoint.html

<<
As Symantec use the same core engine across their entire product line, all Symantec and Norton branded antivirus products are affected by these vulnerabilities, including:
  • Norton Security, Norton 360, and other legacy Norton products (All Platforms)
  • Symantec Endpoint Protection (All Versions, All Platforms)
  • Symantec Email Security (All Platforms)
  • Symantec Protection Engine (All Platforms)
  • Symantec Protection for SharePoint Servers
  • And so on.
>>
En het ontdekken dát de source in zo'n pakket zit.
Het is een groot probleem, niet zo zeer dit specifieke geval, als wel het algemene verschijnsel dat er een hoop software is die allerlei third-party software/libraries gebruikt die vervolgens nooit meer worden bijgewerkt. Vergelijkbaar is dat er ontzettend veel websites draaien met een antieke versie van bv jquery, de beheerder weet waarschijnlijk niet eens dat z'n CMS onder de motorkap een kopietje van jquery heeft.

In de Linux-wereld wordt van packagers verwacht dat ze "embedded libs" verwijderen en vervangen door de stand-alone versie van die libjes die apart gepackeged zijn. Dat kan echter een heel vervelend klusje zijn en het geeft soms compatibility-problemen, maar het is de enige manier om dit soort tijdbommen te voorkomen.

[Reactie gewijzigd door CAPSLOCK2000 op 21 september 2016 23:17]

Klinkt een beetje als computer HIV: de beveiliging van iemand's eigen computer gebruiken om hem te infecteren. Ik moet de makers nageven dat het wel een sterk staaltje is.
Voor beide kampen that is.
Ten eerste om je als virusmaker te kunnen toespitsen op het gegeven dat er een verouderde source gebruikt is om archieven te openen ( met als bijzaak, dat niet iedereen dezelfde antivirus gebruikt )
En het ontdekken dát de source in zo'n pakket zit.

Ik ben aardig onderlegd in het wel en wee van informatica, maar ben de eerste die moet toegeven niet verder te komen dan een pakket door een online/offline scanner te halen om te kijken of het kwaad zou kunnen.

Eenmaal geďnstalleerd is het vaak 'vergeten' en drijf je verder op het idee dat de initial scans 'schoon' waren.
Ik ga er niet van uit dat juist mijn bescherming achteraf misbruikt zou kunnen worden, ondanks regelmatige updates

Al moet ik ook opmerken dat er tegenwoordig maar 'weinig' geďnstalleerd wordt, behalve de usual suspects.
* FreshMaker is trots om te zeggen dat sinds een paar jaar alles netjes voldoet aan de licenties en aanschaf ( software, that is :+ )

[Reactie gewijzigd door FreshMaker op 21 september 2016 11:01]

Offtopic: dat geldt voor iedereen denk ik. De tijd dat ik nog wist wat alle services deden is na Windows NT 4 opgehouden.

Dit is overigens wel schandalig. Een anti virus software pakket grijpt invasief op je systeem in en hoort daardoor zijn zaakjes extra op orde te hebben. Als ik de links goed begrijp hebben ze gewoon een stukje RAR code opgenomen zonder het precies te begrijpen of te updaten. Die zaak laten ze ook nog eens in kernel mode draaien met alle risico's van dien.
Dit is overigens wel schandalig. Een anti virus software pakket grijpt invasief op je systeem in en hoort daardoor zijn zaakjes extra op orde te hebben.
Dit is helaas gewoon de status quo. Beveiligingsonderzoekers klagen echt al jaren over de laksheid van de grote antivirus-boeren als het op de beveiliging van hun eigen producten aan komt.

In meer recente jaren zijn ook de browser bouwers aan die tafel aangeschoven, omdat blijkt dat de 'extra browser bescherming' die veel antivirus suites in de vorm van extensions of plugins bieden, vaak op een incorrecte en onvelige manier gebouwd zijn. Daardoor wordt het juist makkelijker voor kwaadwillenden om bijv. uit een ingebouwde sandbox te ontsnappen.

(Als dat soort programmatuur al niet de browser zo instabiel als de pest maakt of de performance compleet om zeep helpt. McAfee is daar zo'n beetje poster-child voor.)

[Reactie gewijzigd door R4gnax op 21 september 2016 19:40]

Unrar mag je zo opnemen in je code. Echter voor de Rar functionaliteit ben je licentiegelden verschuldigd.
Ik doelde meer op mijn eigen systemen, dat daar alles nu voorzien was van 'legale' software.
Iets waar een dikke vijf jaar geleden het meeste nog aan elkaar hing van hacks, patches en cracks inclusief voor Windows, is na die tijd de boel op orde.

Dat een externe partij wel of geen licenties afdraagt, zie ik niet als mijn verantwoordelijkheid.
Pffffffff en weer een weekeinde naar de klote als mijn vakantie voorbij is. Net bijgekomen van de vorige patchronde :-(
Edit:
Oeps, niet goed gelezen, was verontwaardigd dat Norton nu pas na bleek te denken over het controleren/sandboxen van rar bestanden, maar het is nog vele malen erger...

Hoop dat iedereen dit aanpakt om de baas etc nog maar weer eens te proberen te overtuigen om Norton de deur uit te doen, wat een belachelijk slecht product blijft het toch.

[Reactie gewijzigd door olivierh op 21 september 2016 11:44]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True