赛门铁克防病毒发动机的一项危险缺陷将计算机造成轻松黑客攻击的风险
多个赛门铁克产品中使用的防病毒引擎具有易于利用的漏洞,可以允许黑客轻松损害计算机。
缺陷由Symantec在反病毒发动机(AVE)版本20151.1.1.4中修复,周一通过LiveUpdate发布。缺陷由缓冲区溢出条件组成,可以在使用格式错误的标题解析可执行文件时触发。
根据Google Security Engineer Tavis Ormandy,谁发现了缺陷,可以远程利用该漏洞来在计算机上执行恶意代码。所有所需要的是攻击者向漏洞文件发送电子邮件作为附件或说服用户访问恶意链接。
执行文件不是必需的,因为防病毒引擎使用驱动程序拦截所有系统输入和输出操作,并且一旦以任何方式到达文件系统就会自动扫描文件。
文件扩展名为“T RISH,只要文件具有标题标识它作为包含带有ASPACK的便携式可执行文件,就是一个商业压缩机实用程序。
最糟糕的一部分是,Symantec Ave解压缩内核内的这些文件,是OS的最高特权区域。这意味着成功的开发可以导致完整的系统妥协。
“在Linux,Mac和其他UNIX平台上,这导致赛门铁克或诺顿进程中的root远程堆溢出,”Ormandy在咨询中表示。“在Windows上,这会导致内核内存损坏,因为扫描引擎加载到内核中,使得该远程Ring0 Memory损坏漏洞 - 这与可能获得的情况一样糟糕。”
Symantec在常见漏洞评分系统(CVSS)中的10个中有9.1严重性得分的漏洞。
“成功攻击的最常见症状将导致立即系统崩溃,又名。蓝屏死亡(BSOD),“公司在自己的咨询中表示。
用户应确保他们安装可用于其赛门铁克防病毒产品的最新可用更新,并在Symantec的支持网站上使用说明查看AVE的版本。
这是近年来防病毒产品中的Ormandy和其他安全研究人员发现的长时间的关键漏洞中的最新状态。其中大多数都批评防病毒供应商继续执行危险的文件扫描操作,这历史地导致漏洞,使用内核权限。
