Исследователи безопасности из группы Zero (созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей), раскрыли информацию о критической уязвимости (CVE-2016-2208) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате «PE» можно инициировать переполнение буфера и организовать выполнение кода в системе.
В процессе разбора исполняемых файлов, сжатых ранней версией aspack, возможно переполнение буфера в модуле Symantec Antivirus Engine, использованном в большинстве антивирусных продуктов, выпущенных под марками Symantec и Norton. Такая ситуация становится возможна, если секция данных усечена, т.е. если значение SizeOfRawData превышает значение SizeOfImage.
А теперь о самом интересном. Поскольку ПО Symantec использует драйвер-фильтр для перехвата всех операций ввода-вывода в системе, атака может быть произведена путем направления в систему-жертву эксплоита практически любым путем — скажем, в виде почтового сообщения или ссылки на файл.
В системах Linux, Mac и на других UNIX-платформах, таким образом можно добиться удаленного переполнения кучи (heap overflow), произведенной с правами суперпользователя в процессах Symantec или Norton. На Windows, результатом станет повреждение памяти ядра, поскольку там сканирующий модуль загружается в ядро, что может позволить выполнить код с правами ядра на уровне защиты ring0.
Продукты под марками Symantec и Norton интересны еще и тем, что часто входят в поставки ПК и ноутбуков. Это, безусловно, также повлияло на их распространенность, особенно срезу западных пользователей.
Компания-производитель оперативно опубликовала обновление, исправляющее данную уязвимость. Таким образом, важно произвести его установку, в т.ч. и на Unix-серверах (установка потребует перезагрузки сервера).
Автор: dmitry_ch