The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой

17.05.2016 23:51

Исследователи безопасности из группы Zero , созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, раскрыли информацию о критической уязвимости (CVE-2016-2208) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате "PE" можно инициировать переполнение буфера и организовать выполнение кода в системе.

Так как антивирусное ПО Symantec работает в фоне и автоматически выполняет проверку поступающих файлов, атака может быть совершена незаметно для пользователя при получении файла по электронной почте или при открытии специального сайта. В Linux и OS X атакующий может выполнить свой код с правами root. В Windows движок сканирования файлов Symantec работает на уровне ядра, что позволяет выполнить код с правами ядра на уровне защиты ring0.

Тем временем, хостинг свободных проектов SourceForge объявил о внедрении системы автоматической проверки вредоносного кода и adware в файлах, загружаемых пользователями сервиса. При выявлении проблем, рядом с файлом выводится специальное предупреждение. Проверка организована с использованием проприетарных продуктов Bitdefender и ESET, в которых ранее находили похожие на Symantec Antivirus уязвимости.



  1. Главная ссылка к новости (https://it.slashdot.org/story/...)
  2. OpenNews: Google представил проект Zero, нацеленный на повышение защищённости Сети
  3. OpenNews: Злоумышленникам удалось взломать несколько серверов SourceForge (дополнено)
  4. OpenNews: Продолжение истории со взломом SourceForge: заблокированы пароли для всех аккаунтов хостинга
  5. OpenNews: Опубликован полный отчёт о взломе Sourceforge.net
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44448-symantec
Ключевые слова: symantec
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:18, 18/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    А когда уже начнут искать уязвимости в самих вирусах?...
     
     
  • 2.10, Аноним (-), 08:30, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А когда уже начнут искать уязвимости в самих вирусах?...

    а чем, по-твоему, занимаются антивирусы?
    борьба щита и меча

     
  • 2.11, iPony (?), 08:34, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давно уже. Для каких-нибудь шифровальщиков или ботнетского ПО аверы это и делают.
     

  • 1.2, th3m3 (ok), 01:54, 18/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Антивирусы ненужны. Имеют привилегированные права в системе, сами дырявые, а защитить могут только лишь от известных им угроз. Благо это виндопроблемы, а не GNU/Linux систем.
     
     
  • 2.8, DmA (??), 08:28, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • –6 +/
    а зачем на винде антивирус уже 15 лет не использую как, с тех пор как в ХР в sp... большой текст свёрнут, показать
     
     
  • 3.13, Аноним (-), 09:52, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я добавлю, что они сильно замедляют систему и имеют кучу ложных срабатываний. NOD32 например, если не отключить анализ трафика до недавнего времени создавал проблемы с сетью.
     
  • 3.19, Возмущенная общественность (?), 12:41, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >появился встроенный брандмауэр

    это тот, что запускался спустя некоторое время после установки сетевого соединения и ХП успевало нахвататься бластеров с сассерами?
    Ах да, еще это чудо майкросовтовской мысли могло лишь фильтровать трафик в одном нарпавлении.

    А антивирусы да, не нужны. Тем более что вирусов в изначальном их состоянии уже нет.

     
  • 3.30, scorry (ok), 23:32, 19/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а зачем на винде антивирус? уже 15 лет не использую как, с
    > тех пор как в ХР в sp2 появился встроенный брандмауэр.

    Ох уж эти сказочники, ох уж эти сказочки...

     
     
  • 4.31, DmA (??), 14:05, 20/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> а зачем на винде антивирус? уже 15 лет не использую как, с
    >> тех пор как в ХР в sp2 появился встроенный брандмауэр.
    > Ох уж эти сказочники, ох уж эти сказочки...

    В чём же мои сказочки? sp2 был нужен внешний брандмауэр outpost тот же, а потом и outpost стал ненужен.

     
  • 2.25, Uri (??), 16:45, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно - от известных угроз защищаться не надо! Каждый настоящий айтишник способен распознать зараженную флешку, что жена принесла с работы, по запаху.
     
     
  • 3.26, dr Equivalent (ok), 17:03, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не угадал.
    Система должна быть построена и сконфигурирована так, чтобы никогда в жизни не запускать какую-то малознакомую херню с малознакомой флешки без абсолютно осознанного выбора пользователя.
     
  • 3.28, Led (ok), 23:03, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Правильно - от известных угроз защищаться не надо! Каждый настоящий айтишник способен
    > распознать зараженную флешку, что жена принесла с работы, по запаху.

    Вендузоеды должны страдать, всей семьёй.

     

  • 1.3, Аноним (-), 02:04, 18/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ничего, что сам Гугл использует VirusTotal для проверки приложений в Android Market?

    Желтизна!!

     
     
  • 2.6, Аноним (-), 06:50, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ага. Автор новости решил заодно подгадить SourceForge: "а они проверяют файлы антивирусом". Блин, да все проверяют! Даже наши русские файлообменники
     
     
  • 3.16, НяшМяш (?), 11:43, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Блин, да все проверяют! Даже наши русские файлообменники

    Огласите весь список, пжлста. А то мы не в курсе.

     
  • 2.9, DmA (??), 08:29, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > А ничего, что сам Гугл использует VirusTotal для проверки приложений в Android
    > Market?
    > Желтизна!!

    и какой от этого толк,что проверяют приложения для андроид на вирусы? всё равно остаётся в этом маркете куча приложений, которые воруют данные или имеют функцию слежки за пользователем!

     
     
  • 3.14, Аноним (-), 09:54, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто и зачем заминусовал человека? Он правду написал. Суть антивирусов - в проверке уже известных вирусов, да и то только тех, кто не зашифрован. Минимальная обфускация или сжатие делает антивирус бесполезным. И если программа в Google Play такой вирус разожмет во время выполнения и запустит - ваш телефон не ваш.
     
     
  • 4.22, Аноним (-), 14:53, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кто и зачем заминусовал человека? Он правду написал. Суть антивирусов - в
    > проверке уже известных вирусов, да и то только тех, кто не
    > зашифрован. Минимальная обфускация или сжатие делает антивирус бесполезным. И если программа
    > в Google Play такой вирус разожмет во время выполнения и запустит
    > - ваш телефон не ваш.

    Открой для себя тот факт, что уже свыше 10 лет антивирусы снабжены библиотеками распаковки.

    Вы тут вообще в вашем уютненьком чем-либо за пределами своего мирка интересуетесь?

     
     
  • 5.27, Аноним84701 (?), 18:50, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Открой для себя тот факт, что уже свыше 10 лет антивирусы снабжены
    > библиотеками распаковки.

    Ну-ну. Видели, знаем.
    Запуск "злобного" кода через RunPE в памяти любого процесса уже более десяти годков как "побороть" не могут.

    > Вы тут вообще в вашем уютненьком чем-либо за пределами своего мирка интересуетесь?

    Ей-ей, вы бы меньше с умным видом щечки надували и больше интересовались, что в экзешниках подразумевается под "упаковкой", "шифрованием" и  куда конкретно последние (как минимум) лет 15 можно засунуть библиотеки распаковки при попытке "распаковать" такой экзешник )

    Кстати, советую погуглить насчет дыр именно в этих самых библиотеках, типа
    http://www.cvedetails.com/cve/CVE-2012-1459/
    http://www.cvedetails.com/cve/CVE-2012-1461/
    Это так, первые попавшиеся, т.к. там [в  антивирусах] регулярно что-то находят. И конца этому пока что не видно, т.к. товарищи упрямо тянут старый, как шерсть мамонта код чуть ли не из девяностых. Зато да, пиарится не забывают (оно и ясно — на переписывании денег не заработаешь).

     
  • 2.12, Аноним (-), 08:45, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А ничего, что сам Гугл использует VirusTotal для проверки приложений в Android Market?

    Разница в том, что VirusTotal  принадлежит Google и полностью контролируется. А SF налепил в критически важную инфраструктуру сразу два внешних продукта с огромной историей серьёзных проблем с безопасностью.

     
     
  • 3.15, Аноним (-), 11:25, 18/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Открываем virustotal.com с первым попавшимся файлом. В списке антивирусов:

    > ...
    > ESET-NOD32
    > BitDefender
    > VirusTotal  принадлежит Google и полностью контролируется

    Сами видели, как контролируется?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру