Symantec ha fijado docenas de vulnerabilidades críticas que afectan a sus soluciones que pueden ser explotadas por atacantes remotos para la ejecución de código arbitrario.
El popular hacker de Google Tavis Ormandy Proyecto Cero informó el mes pasado una serie de problemas de seguridad críticos en las soluciones de Symantec, y esta es la buena noticia. La mala noticia es que Symantec arreglaron enseguida uno de ellos solicitando más tiempo para resolver los otros debido a su complejidad.
Esta semana Symantec publicó un aviso de seguridad para anunciar que todas las vulnerabilidades descubiertas por Ormandy que se han resuelto.
La lista de defectos que afectan a 25 de Symantec y Norton soluciones incluye desbordamiento de memoria (CVE-2016-2209 y CVE-2016-2210), daños en la memoria (CVE-2016-2211 y CVE-2016-3644), memoria de acceso violación (CVE-2016 -2207 y CVE-2016-3646), y el desbordamiento de enteros (CVE-2.016-3645) vulnerabilidades.
De acuerdo con Ormandy, las vulnerabilidades reside en el componente "desintegrador" del motor antivirus de Symantec que fue diseñado para la biblioteca "desintegrador", y se utiliza para la extracción de metadatos de documentos y macros incrustadas. Con el fin de realizar las operaciones de las que fue diseñado, el descomponedor ejecuta con privilegios de sistema / root.
Estas vulnerabilidades son tan malas como se pone. No requieren ninguna interacción del usuario, afectan a la configuración por defecto, y el software se ejecuta en los niveles más altos posibles de privilegio. En ciertos casos en Windows, código vulnerable está aún cargado en el núcleo, lo que resulta en daños en la memoria de núcleo remoto. "Ormandy escribió en una entrada en el blog .
La mayoría de las vulnerabilidades podrían accionar de forma remota simplemente engañar a las víctimas en un archivo especialmente diseñado abierto o visitar un sitio web falso.
Ormandy también puso de relieve la importancia de la gestión de vulnerabilidad para los fabricantes de antivirus.
El análisis que hizo en el desintegrador de Symantec le permitió descubrir que la biblioteca estaba usando el código de bibliotecas de código abierto como libmspack y unrarsrc que la empresa no había actualizado en por lo menos 7 años.
"A nadie le gusta hacer esto, pero es una parte integral del desarrollo de software seguro. Symantec dejó caer la pelota aquí. Un rápido vistazo a la biblioteca de descomposición enviado por Symantec mostró que estaban usando código derivado de las bibliotecas de código abierto como libmspack y unrarsrc , pero no les había actualizado en por lo menos 7 años. ", Escribió Ormandy.
