Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Bron: Symantec

Symantec-domino Symantec heeft op zijn website bekendgemaakt dat de antivirussoftware van het bedrijf kwetsbaar is voor een zogenaamde 'heap overflow'-aanval. De zwakke plek werd ontdekt door veiligheidsadviseur Alex Wheeler, die beschreef hoe een hacker de antivirussoftware met een speciaal gemaakt .rar-bestand zo gek kan krijgen om de controle over het systeem uit handen te geven. Symantec noemt het nieuwe beveiligingsgat 'high risk', maar weet ook te melden dat er nog geen exploits in het wild zijn aangetroffen. Omdat een ge-maild .rar-bestand zonder tussenkomst van de gebruiker door de virusscanners van het bedrijf wordt gecontroleerd, kan malware die van het lek gebruik maakt in theorie zeer snel om zich heen grijpen. Het bedrijf werkt nog aan een patch. Een kwaadaardig bestand zou echter met behulp van heuristische detectie herkend kunnen worden, en de recentste virusdefinities bevatten regels om dat mogelijk te maken. Symantec raadt klanten dan ook opnieuw aan om de gebruikte antivirussoftware up-to-date te houden.

Moderatie-faq Wijzig weergave

Reacties (34)

"Memory that is dynamically allocated by the application is known as the
heap." The words "by the application" are important here, as on good
systems most areas are in fact dynamically allocated at the kernel level,
while for the heap, the allocation is requested by the application.
Oftewel een heap overflow is een overflow binnen het dynamisch gereserveerde geheugen.

b.v. een array defineren van 10 waarden en er dan 11 naar het geheugen schrijven. Waardoor een andere door het programma gereserveerde array word overschreven.

Waarschijnlijk bevat het .rar bestand dus stiekem meer files dan gedefineerd in de rar-header waardoor symatic dus teweinig geheugen reseveert, en geheugen van een andere variable/array van het programma word overschreven.

Extra info:
Er moet dus een andere variable/array van het programma worden overschreven, want als deze er niet staat schrijf je buiten het door het programma gereserveerde geheugen en zal het OS het programma afsluiten

Je kan deze heap overflow's dus simpel voorkomen, je moet gewoon nooit voor een array geheugen direct achter het geheugen van een vorig array reserveren
Je kan deze heap overflow's dus simpel voorkomen, je moet gewoon nooit voor een array geheugen direct achter het geheugen van een vorig array reserveren
Dat kan dus niet zomaar. De heap wordt door de systeem-libraries of door het OS zelf gemanaged en wel zodanig dat er juist veel allocaties zo dicht mogelijk achter elkaar staan: fragmentatie is een bitch.

Er zijn wel methoden om geheugenblokken op random adressen te laten alloceren, maar daarvoor heb je kernel-support nodig, dus dat ligt buiten het bereik van applicatieprogrammeurs.
ja doe jij dat is even

In windows is het niet eenvoudign om geheugen te reserveren.
In de oudere Windows zoals W98 en ME had ik je misschien gelijk gegeven.
Maar in Windows 2K en XP is het zelfs voor een programmeur nog lastig om geheugen te alloceren.
Daarnaast zijn de meeste tools om een programma te schrijven zo ingesteld dat ze geheugen overflows al detecteren voor er daadwerkelijk een programma is.

Dus even "simpel" een array reserveren is er niet bij, zeker niet als je niet weet wat er nog meer in het geheugen is gereserveerd.
Is het niet zo dat antivirus software behoorlijk diep in het systeem ingebouwd zitten en daardoor calls kunnen maken die lagere programma's niet kunnen.
De papaer verteld dat de rar-header wordt zelf aangepast en dus bevat het de leuke zaken.
erg mooie uitleg, mag ook weleens gezegd worden :)

tis dat er geen +5 bestaat, anders had je het gekregen ;)
De link klopt niet helemaal. Het moet deze zijn:
http://www.infoworld.com/...mantecflaw_1.html?9809798

(ben ik dan de eerste die het na 28 reacties opmerkt??)
"Omdat een ge-maild .rar-bestand zonder tussenkomst van de gebruiker door de virusscanners van het bedrijf wordt gecontroleerd, kan malware die van het lek gebruik maakt in theorie zeer snel om zich heen grijpen."

Is het beter om geen antivirussoftware te gebruiken, in ieder geval niet van Symantec? :+
Ieder Anti-Virus programma heeft wel eens een lek hetzei groot of klein. Dus daar kan je Symantec niet op afrekenen.
Tenminste niet zoals je nu doet :)
Als je zei dat Norton veel System resources en geheugen vreet... had ik je gelijk gegeven
Laatste PCM niet gezien? Ik citeer "hoewel velen uit eigen ervaring meldden dat voorgaande edities van NAV hun ssyteem trager maakten, merkten we daar bij deze nieuwe versie (NAV2006) niets meer van. Qua geheugengebruik komt NAV als beste uit de bus, met minder dan 25 MB in gebruik. Tijdens de scan legt het wel een bovengemiddeld beslag op de bronnen, maar de gebruikte hoeveelheid geheugen is ook hier gunstig".

Laten we dus niet direct weer roepen dat NAV veel bronnen vreet. Kaspersky gebruikt bijv. maar liefst 41,9 MB geheugen! Dat is dus bijna 2x zoveel als NAV.

Ik ben ook niet echt een NAV fan, maar om het nu direct weer af te schieten op geheugengebruik vind ik niet fair. Ik zweer zelf bij BitDefender.
Prima reactie...
Misschien heb je wel gelijk met het t snel roepen. Mijn ervaring (NAV 2003,04 en 05) vertelde mij dat het systeem traag werd. Daarom ben ik sinds kort overgestapt op Mcafee, maar ook deze laat mij de laatste tijd in de steek kwa snelheid. Misschien toch maar weer is NAV gebruiken.
Hier is dan ook door Symantec veel geld en tijd in gestoken. Ze werden steeds minder populair omdat hun apps zoveel ram trokken. Nu is dat een heel stuk minder.

De firewall in IntSec'06 is btw ook een heel stuk verbeterd.
Van mij zou een virusscanner zelfs 100 MB of meer mogen gebruiken. Als ik maar geen 50 % snelheid verlies. Tegenwoordig heb je toch geheugen genoeg, 1-2 gig is al geen uitzondering meer.

NAV 2006 schijnt beter te zijn inderdaad , maar de customer-virusscanners van Symantec heb ik de laatste jaren opzij laten liggen. Die software maakte bij wijze van voorbeeld van je Athlon 3000+ een Pentium 2 :(
Tevens hoef ik er alle andere toegevoegde producten niet bij , zoals firewall - anti spyware - troep :r

De Corporate versie daarentegen heb ik wel gebruikt, maar die real time virusscan zet ik toch nog steeds af. Beetje voorzichtig zijn en manueel scannen wat je binnenkrijgt doen wonderen :+
E-trust antivirus neemt amper 8 mb geheugen in beslag... :)
Laten we dus niet direct weer roepen dat NAV veel bronnen vreet. Kaspersky gebruikt bijv. maar liefst 41,9 MB geheugen! Dat is dus bijna 2x zoveel als NAV.
Apart, die doet hier maar 8 MB.
Apart, die doet hier maar 8 MB.
Dan heb je hem uit staan :+
Als je Symantec AntiVirus hoort gaat het niet per defnitie om Norton. Symantec AntiVirus bestaat ook gewoon, Norton is puur een product(range) van Symantec.

voorbeeld: Als een een Senseo apparaat slecht is hoeven niet alle koffiezetters van Philips slecht te zijn.

Over resources had je vroeger gelijk van me gehad, maar zoals hier boven staat is dat sterk verminder bij Norton 06, Symantec AntiVirus (die ik zelf heb) gebruikt zelfs maar 21,8 MB.
Maar de verwarmingselementen van Philips koffiezetters komen wel allemaal bij dezelfde leverancier vandaan. (Lees: Veel Symantec/Norton producten hebben dezelfde of bijna dezelfde Engine)
Ieder Anti-Virus programma heeft wel eens een lek hetzei groot of klein. Dus daar kan je Symantec niet op afrekenen.
Tuurlijk wel.
Als producent A software met groffe fouten maakt, pleit dat het niet vrij voor producent B om dat k maar groffe fouten te maken.
Is het niet beter om helemaal geen software meer te gebruiken als je die stelling inneemt? Dit soort fouten doen zich ook voor in andere (alle) software zoals browsers, firewalls etc.
Idd, als je geen computer gebruikt krijg je geen last van een computervirus... :Z
Kan wel degelijk, hoor. Als je bank een virus te pakken krijgt, heb jij daar wel degelijk last van. Maar dan indirect.
daar zat ik ook al aan te denken :)
maar denk wel dat er in de tussen tijd dat ik dit zit te tiepen er al lang iemand bezig is om van die probleem gebruik van te maken :P

beter om een ander proggie te hebben dan die van hun. heb zo vaak al problemen met Symantec gehad. dat ik snel al was over gestapt op anderen. veel botsingen, vastlopers, traag hangende pc en ut ergste van alles mijn favo games tot bijna tot de grond toe vertragen :(
Ik snap nog altijd niet dat hun anti-virus zoveel resources gebruikt. Kijk maar eens naar de gratis alternatieven zoals bvb. Avast of Kaspersky, freeware en light voor je systeem EN gelijkaardige prestaties vergeleken met Symantec Anti-Virus...
Kaspersky heeft toch geen freeware versie? Of wel? Waar kan ik die vandaan halen?
En niet te vergeten de gratis versie van Microsoft Anitvitus Beta...

op www.onecare.com

Of het iets is weet ik niet, maar het schijnt goed te werken
Begrijp niet dat ze dit soort nieuws bekend maken voordat er een patch is.
Als ze het zelf niet doen, doet iemand anders het wel. Denk dat ze dus niet zoveel keuze hadden...
ik heb nu inmiddels al verscheidenen keren symantec NIS geprobeerd, maar ik blijf het een slechte av vinden..

alhoewel de gemiddelde gebruiker niet beter zal weten maar goed..

ik heb nu zelf NOD32 welke mij zeer goed bevalt.. lekker licht en snel.. dat kun je van symantec niet zeggen..

al eens de helpdesk van symantec moeten bellen?.. :r

[edit]
ooh god ik word hier zo moe van.. dit is een gewone post met mijn info.. ik geef alternatieven.. ik vertel over mij ervaring met NIS..

T.net mod systeem?..
We hebben het hier over Norton Antivirus. Verbaast me helemaal niks. :r
Helaas, we hebben het over Symantec anti virus, daar gaat je flame.
Vulnerable Products:

onder het kopje Consumer Products:
Symantec Norton Antivirus 2004, 2005, 2006
Symantec Norton Internet Security Professional 2004, 2005, 2006

bron: http://securityresponse.s.../Content/2005.12.21b.html
Het valt me op dat Symantec de laatste tijd zo vaak de fout in gaat. En het zijn vaak geen kleine foutjes.
Wheeler raadt gebruikers van Symantec-antivirussoftware tot die tijd aan de scan van rar-bestanden uit te zetten.
Deze man dacht waarschijnlijk: Liever geen beveiliging, dan dat de beveiliging omzeilt word. Zo denk ik ook altijd, daarom heb ik geen virusscanner. kan ik altijd roepen:"Bij mij is nog nooit een virus gevonden!"

Tip van de dag: NOD32 vanwege de lage systeembelasting en de goede resultaten

\[what?] Misschien weten jullie alles al, maar er zijn vast mensen die iets hebben aan deze tips. Het dus compleet wegstemmen vind ik wat triest...[/quote]
Ik draai als NAV2003 sinds het uitkwam in september/oktober 2002.
Van vertragingen merk ik echt niks, en zelf als ik World of Warcraft speel op vrijdag avond 8 uur, want dan start mijn wekelijkse scan, dan merk ik relatief weinig.
Het spel wordt dan wel wat trager, maar niet super erg ofzo.

Snap nog altijd niet wat mensen fout doen. Gewoon weinig andere prut op de achtergrond draaien helpt volgens mij ook best aardig.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True