01.07.2016, 16:20
Wpadek AV ciąg dalszy...i nie tylko Symantec ją zaliczył
Źródło
Cytat:Tavis Ormandy, pracownik elitarnego zespołu Google Project Zero, kilka miesięcy temu ruszył na małą cyberkrucjatę. Za cel swoich badań obrał programy antywirusowe i chyba nie było jeszcze takiego, nad którego poziomem bezpieczeństwa by nie zapłakał. Tym razem pochylił się nad silnikiem Symanteca.
Matka wszystkich dziur
Tavis po analizie kodu Symanteca, występującego w prawie wszystkich produktach tej firmy (w tym także pod marką Nortona) znalazł w nim błąd bijący wszystkie błędy. Przepełnienie bufora w module analizy plików spakowanych starszą wersją aspack nie brzmi może strasznie, ale niestety Symantec uznał za dobry pomysł zaimplementowanie odpakowywania złośliwego oprogramowania na poziomie jądra systemu a do tego jego mechanizmy analizują wszystkie pliki w locie. W praktyce oznacza to, że wystarczy wysłać użytkownikowi Symanteca odpowiedni plik by uzyskać automatycznie, bez żadnej interakcji (odbiorca nie musi odczytywać poczty) maksymalne uprawnienia w systemie (root dla Linuksa czy OS X, ring0 NT Authority\SYSTEM w Windows). Gorzej być nie może.
Poziom znaczenia błędu najlepiej może zilustrować fakt, że pierwsze zgłoszenie Tavisa do Symanteca nie dotarło. Bramka pocztowa (oczywiście produkcji Symanteca) odgadła domyślne hasło archiwum ZIP (infected) i przeskanowała jego zawartość – i padła, bo Tavis przesłał przykładowy plik na dowód tego, ze błąd faktycznie istnieje… Symantec ten błąd już naprawił (jeśli macie licencję to dostaliście poprawkę), lecz jeszcze sporo poprawek przed Wami – Tavis nie ograniczył się do znalezienia jednego błędu.
Nie tylko SymantecNiestety fatalny poziom bezpieczeństwa kodu nie jest tylko problemem Symanteca – Tavis pokazał już podobne luki w produktach firm takich jak ESET, Kaspersky, Avast, AVG, TrendMicro, Comodo, MalwareBytes, Avira oraz McAfee. Jeśli jakiegoś antywirusa nie ma na tej liście to nie dlatego, ze oparł się urokowi Tavisa – ale dlatego, że jego misja jeszcze trwa i nie zajrzał do każdego produktu. Warto także zaznaczyć, że jego przegląd jest dość powierzchowny – nie trwa jeszcze nawet roku i choć Tavisowi talentu nie brakuje, to można sobie tylko wybrazić, ile błędów może znaleźć zespół 100 chińskich ekspertów w tym samym czasie.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"