Antivirenprodukte von Symantec weisen schwerwiegenden Overflow-Bug auf

Unter Linux und OS X resultierte das Parsen präparierter Portable-Executables in einem Heap Overflow. Unter Windows weitet sich das Problem zu Remote-Codeausführung aus, da es die Antiviren-Engine in den Kernel lädt. Ein Update ist seit gestern verfügbar.

von Florian Kalenda am , 12:12 Uhr

Google-Sicherheitsforscher Tavis Ormandy hat einen Fehler in Symantecs Antivirus Engine entdeckt. Das Parsen präparierter Header-Informationen einer Datei im Format Portable-Executable (PE) kann zu einem Puffer-Überlauf führen.

symantec (Bild: Symantec)„Solche deformierten PE-Dateien können per E-Mail eingehen, durch Downloads eines Dokuments oder einer Anwendung, und auch durch Besuch einer bösartigen Website“, heißt es in Symantecs inzwischen verfügbarem Advisory. „Eine Nutzerinteraktion ist nicht nötig, um das Parsen der Datei auszulösen.“ Die Lücke wurde als CVE-2016-2208 klassifiziert.

Auf der Seite von Googles Project Zero heißt es, unter Linux, OS X oder anderen Unix-artigen Systemen führe der Exploit dazu, dass ein Heap Overflow ausgelöst werde. Unter Windows hingegen werde die Scan-Engine in den Kernel geladen, „was dies zu einer aus der Ferne nutzbaren ring0-Speicherkorruptions-Schwachstelle macht – etwa das Schlimmste, was passieren konnte.“

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

... zum Test.

Somit belegt der Fall, dass es keine gute Idee war, unter Windows die Antiviren-Engine in den Kernel zu laden. Ormandy schreibt: „Dies ist eine Schwachstelle, die Remote-Codeausführung ermöglicht. Weil Symantec einen Filter-Treiber einsetzt, um alle Systemkommunikation abzufangen, genügt es, einem Opfer eine Datei oder einen Link zu schicken.“ Die Dateiendung spiele übrigens keine Rolle. Typisches Zeichen für einen erfolgreichen Angriff dürfte ein Systemabsturz sein, der in einem Blue Screen of Death resultiert.

Ein erfolgreicher Angriff resultiert im BSoD (Screenshot: Tavis Ormandy, Google).Ein erfolgreicher Angriff resultiert im BSoD (Screenshot: Tavis Ormandy, Google).

Als Ormandy seinen Befund an Symantec einschickte, brachte er prompt Symantecs Mailserver zum Absturz. Der Beispielcode steckte zwar in einer passwortgeschützten ZIP-Datei, die Sicherheitslösung erriet das Passwort „infected“ jedoch.

Laut Google Project Zero sind Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine und Symantec Email Security auf allen Plattformen betroffen – „sowie vermutlich alle anderen Antiviren-Produkte von Symantec.“ Patches stehen seit dem gestrigen Montag zur Verfügung. Wer LiveUpdate nutzt, erhält sie automatisch.

Google-Forscher Ormandy hat schon Schwachstellen in zahlreichen anderen Antivirenprodukten aufgespürt, darunter Avast Antivirus, AVG Antivirus, FireEye, Kaspersky Antivirus und Malwarebytes. Auch Lücken in Microsoft Windows konnte er in der Vergangenheit melden.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Google, Security, Sicherheit, Software, Symantec

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Antivirenprodukte von Symantec weisen schwerwiegenden Overflow-Bug auf

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *