Zeroグループ(以前は未知の脆弱性からの攻撃を防ぐためにGoogleによって作成された)のセキュリティ研究者は、シマンテックのウイルス対策ソフトウェアの重要な脆弱性情報( CVE-2016-2208 )を発見しました。 「PE」形式の特別に設計されたファイルをチェックする場合、バッファオーバーフローを開始し、システムでコード実行を整理することができます。
aspackの以前のバージョンで圧縮された実行可能ファイルの解析中に、SymantecおよびNortonブランドでリリースされたほとんどのウイルス対策製品で使用されるSymantec Antivirus Engineモジュールでバッファオーバーフローが発生する場合があります 。 この状況は、データセクションが切り捨てられた場合に可能になります。 SizeOfRawData値がSizeOfImage値を超える場合。
そして今、最も興味深いものについて。 シマンテックのソフトウェアはフィルタードライバーを使用してシステム内のすべてのI / O操作をインターセプトするため、攻撃は、ほぼすべての方法(電子メールメッセージやファイルリンクなど)で被害者のシステムにエクスプロイトを送信することによって行われます。
Linux、Mac、およびその他のUNIXプラットフォームでは、この方法により、SymantecまたはNortonプロセスでスーパーユーザー権限で実行されるリモートヒープオーバーフローを実現できます。 Windowsでは、スキャンモジュールがカーネルにロードされ、ring0保護レベルのカーネル権限でコードが実行される可能性があるため、結果はカーネルメモリの損傷になります。
SymantecおよびNortonブランドの製品も、PCやラップトップの供給に含まれていることが多いため、興味深いものです。 もちろん、これは彼らの有病率、特に西洋のユーザーのカットオフにも影響しました。
製造会社は、この脆弱性を修正するアップデートをすぐに公開しました 。 したがって、以下を含めてインストールすることが重要です。 Unixサーバー(インストールにはサーバーの再起動が必要です)。