[TinyTimm]

Zitat:

Sicherheitssoftware verbessert die Sicherheit und Zitronenfalter falten Zitronen. Tavis Ormandy hat in fast allen Produkten von Norton und Symantec Schwachstellen gefunden, die Speicherfehler im Windows-Kernel ohne Nutzerinteraktion ermöglichen.

Eine gefährliche Sicherheitslücke in fast allen Sicherheitsprodukten von Norton und Symantec ermöglicht Angreifern, die PCs der Nutzer zu übernehmen. Schuld ist ein schwerwiegender Designfehler: Malwaresamples werden nicht in einer Sandbox entpackt, sondern direkt im System.

Um die Sicherheitslücke auszunutzen, ist keinerlei Interaktion der Nutzer notwendig, weil die Dateien nach dem Herunterladen oder wenn sie per E-Mail gesendet werden automatisch analysiert werden. Die Dateien werden von den Antivirenprodukten erst entpackt, um von Malware-Autoren verwendete Kompressionstechniken auszuhebeln.

Dieser Prozess findet jedoch nicht wie üblich in einer Sandbox oder einer speziellen virtuellen Maschine statt. Stattdessen wird der Prozess direkt im Arbeitsspeicher ausgeführt. Die Analysewerkzeuge parsen den in den Dateien enthaltenen Code. Wenn diese Dateien speziell präpariert werden, kann der Angreifer aus dem eigentlich zugewiesenen Speicherbereich ausbrechen (Buffer Overflow), weiteren Code ausführen und das System übernehmen.

"Viel schlimmer können die Schwachstellen kaum sein"

"Viel schlimmer können die Schwachstellen kaum sein", sagte der Entdecker Tavis Ormandy, der für Googles Project Zero arbeitet. "Es ist keinerlei Interaktion der Nutzer erforderlich und die Standardkonfigurationen sind betroffen, außerdem läuft die Software mit den höchstmöglichen Rechten." In einigen Fällen werde der verwundbare Code sogar direkt im Windows-Kernel ausgeführt und ermögliche so eine Manipulation der Kernel-Speicherbereiche aus der Ferne.

Hinzu kommt, dass eine verwendete Bibliothek zur Analyse von Code, die "decomposer library", lange veraltete Open-Source-Komponenten enthält. Einige der Komponenten sollen mehr als sieben Jahre lang nicht auf den neuesten Stand gebracht worden sein, obwohl der Code bekannte Sicherheitslücken enthält.

Betroffen sind nach Angaben von Ormandy fast alle aktuellen Consumer- und Enterprise-Varianten der Software. Das betrifft unter anderem Norton Security, Norton, 360 und Legacy-Produkte, die Symantec Endpoint Protection, Symantec Email-Security, Symantec Protection Engine und Symantec Protection für Share-Point-Server.

Symantec hat ein Security-Advisory herausgegeben, die entsprechenden Updates können über Live-Update eingespielt werden.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]