Исследователь Google Тавис Орманди обнаружил обе уязвимости, эксплуатируемые посредством RAR-файлов, и сообщил о них компании-разработчику.
More Symantec and Norton remote code execution vulnerabilities fixed today, full advisory is here. https://t.co/BLnaUQuI9l
— Tavis Ormandy (@taviso) 20 сентября 2016 г.
Ошибки безопасности как оружие
Многие современные антивирусы поддерживают сканирование файлов при передаче на компьютер. Данная возможность подразумевает исследование содержимого архивов, независимо от их формата - RAR, ZIP или др.
Все антивирусные программы могут распаковывать архивы и анализировать файлы внутри них. Если архив RAR содержит вредоносную программу, то работа продукта Symantec может завершиться сбоем, вызванным ошибкой чтения из-за выхода за пределы допустимых значений (CVE-2016-5309) или из-за нарушения целостности информации в оперативной памяти (CVE-2016-5310).
Symantec объясняет: “Эти ошибки могут привести к состоянию Denial of Service, но не представляют дополнительные возможности для эксплуатации”.
Опасность взлома системы
Хотя продукты Symantec не склонны к “дополнительным возможностям для эксплуатации”, отключение защиты открывает широкий простор для взлома операционной системы. Злоумышленник скорее всего не станет эксплуатировать уязвимости антивируса, а лишь отключит защитные механизмы продукта.
Кроме того, ошибками очень легко воспользоваться. Киберперступниками нужно всего-навсего отправить электронную почту с инфицированным архивом RAR или заманить пользователя на страницу с зараженным файлом.
Уязвимость затронула сразу несколько продуктов Symantec: Symantec Endpoint Protection (для Mac, Linux и Windows), Symantec Endpoint Protection Cloud (SEPC) (для Mac и Windows), Symantec Protection Engine, Symantec Web Gateway и другие корпоративные и серверные решения.
Компания выпустила патчи, устраняющие все проблемы. Некоторые из них уже были доставлены пользователям с помощью службы LiveUpdate.
В этом году Symantec уже третий раз устраняет критические уязвимости - ранее компания выпустила патчи в мае и июне.
В Твиттере Тавис не согласился с идентификаций Symantec обнаруженным им проблем как DoS-уязвимости и считает их проблемами удаленного исполнения кода. Исследователь даже представил фрагменты кода, которые служат доказательствами этой концепции.
Угрозы безопасности
• TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada
• Сайт Xubuntu взломали: вместо установочного файла распространялся вирус для Windows
• Хакеры заявляют об утечке данных 5,5 миллиона пользователей Discord. Компания подтверждает компрометацию 70 000 аккаунтов
• Поддельные страницы сервиса itch.io крадут аккаунты геймеров и устанавливают вредоносное ПО
• Google не будет исправлять атаку ASCII Smuggling в Gemini — уязвимы также DeepSeek и Grok
• Steam и Microsoft предупреждают об уязвимости в Unity, которая подвергает геймеров риску атак