Google-Sicherheitsforscher Tavis Ormandy hat einen Fehler in Symantecs Antivirus Engine entdeckt. Das Parsen präparierter Header-Informationen einer Datei im Format Portable-Executable (PE) kann zu einem Puffer-Überlauf führen.
Auf der Seite von Googles Project Zero heißt es, unter Linux, OS X oder anderen Unix-artigen Systemen führe der Exploit dazu, dass ein Heap Overflow ausgelöst werde. Unter Windows hingegen werde die Scan-Engine in den Kernel geladen, „was dies zu einer aus der Ferne nutzbaren ring0-Speicherkorruptions-Schwachstelle macht – etwa das Schlimmste, was passieren konnte.“
Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent
Somit belegt der Fall, dass es keine gute Idee war, unter Windows die Antiviren-Engine in den Kernel zu laden. Ormandy schreibt: „Dies ist eine Schwachstelle, die Remote-Codeausführung ermöglicht. Weil Symantec einen Filter-Treiber einsetzt, um alle Systemkommunikation abzufangen, genügt es, einem Opfer eine Datei oder einen Link zu schicken.“ Die Dateiendung spiele übrigens keine Rolle. Typisches Zeichen für einen erfolgreichen Angriff dürfte ein Systemabsturz sein, der in einem Blue Screen of Death resultiert.
Als Ormandy seinen Befund an Symantec einschickte, brachte er prompt Symantecs Mailserver zum Absturz. Der Beispielcode steckte zwar in einer passwortgeschützten ZIP-Datei, die Sicherheitslösung erriet das Passwort „infected“ jedoch.
Laut Google Project Zero sind Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine und Symantec Email Security auf allen Plattformen betroffen – „sowie vermutlich alle anderen Antiviren-Produkte von Symantec.“ Patches stehen seit dem gestrigen Montag zur Verfügung. Wer LiveUpdate nutzt, erhält sie automatisch.
Google-Forscher Ormandy hat schon Schwachstellen in zahlreichen anderen Antivirenprodukten aufgespürt, darunter Avast Antivirus, AVG Antivirus, FireEye, Kaspersky Antivirus und Malwarebytes. Auch Lücken in Microsoft Windows konnte er in der Vergangenheit melden.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…