The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Показательные критические уязвимости в продуктах Symantec и Norton

29.06.2016 10:12

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продемонстрировали, что источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры. В 25 продуктах, связанных с обеспечением безопасности, выпускаемых под брендами Symantec и Norton, выявлено несколько критических уязвимостей, которые позволяют получить полный контроль над системой при выполнении проверки специально оформленного файла, без совершения каких-либо действий со стороны пользователя и проявляясь в конфигурации по умолчанию.

Проблемы затрагивают не только Windows, но и Linux. Проблемы присутствуют в коде распаковки исполняемых файлов, сжатых такими инструментами, как UPX и ASPack, а также в функциях разбора документов PowerPoint и Microsoft Office. Функции распаковки выполняются в основном движке системы защиты, работающем на уровне ядра в Windows и в форме привилегированного процесса в Linux (продукт запускается с правами root), без применения механизмов изоляции от остальной системы.

Примечательно, что изучение методов распаковки показало, что код некоторых распаковщиков заимствован из открытых библиотек, таких как libmspack и unrarsrc. При этом данный код не синхронизировался с оригинальными библиотеками уже 7 лет и содержит все устранённые в них за это время уязвимости. Libmspack распространяется под лицензией GPLv2, поэтому ещё не раскрытым остаётся вопрос возможного нарушения лицензии GPL.

Так как в продуктах Symantec применяется драйвер фильтрации, перехватывающий весь ввод/вывод, то для атаки достаточно отправить по электронной почте специально оформленный файл или отправить ссылку на эксплоит (пользователю не нужно открывать файл и ссылку, ПО для защиты само проанализирует контент). Так как проведение атаки не требует действий со стороны пользователя уязвимости могут быть использованы для создания червей, атакующих другие системы во внутренней сети.

  1. Главная ссылка к новости (https://googleprojectzero.blog...)
  2. OpenNews: Google представил проект Zero, нацеленный на повышение защищённости Сети
  3. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/44694-symantec
Ключевые слова: symantec, norton
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 10:29, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >Symantec

    Эта конторка ещё жива? Я думал они рулили во времена nc.exe и Norton Utilities а потом к концу 90х благополучно сдохли. Или это совсем другая компания?

     
     
  • 2.2, _hide_ (ok), 10:53, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это та же компания. Успешно превратили софт в бизнес (софт, конечно, в ГО, но бизнес сохранили) и стригут бабло на корпоративных клиентах в США.
     
  • 2.3, h31 (ok), 10:54, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Жива, жива. Только сейчас в основном занимается "безопасностью".
     
  • 2.4, Аноним (-), 10:54, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Они, но вроде еще не сдохли. Я виртуалки VMWare бекапил через их Symantec Backup Exec.
     
     
  • 3.9, PnDx (ok), 11:15, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Перекупленный у Veritas в 20xx.
    Так же как антивирус (у Norton). "Nothing personal" в отношении Symantec обретает свой (неповторимый) окрас.
     
     
  • 4.11, Аноним (-), 11:41, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Немногие знают, но Коммандер тоже не их.

    > Начиная с версии 4.0, программу разрабатывала целая команда программистов, поскольку в 1990 году фирма Peter Norton Computing была куплена компанией Symantec, но новый коммандер постепенно начал утрачивать популярность, так как увеличил размер занимаемой памяти (что было критично для DOS)
    > Материал из Википедии, свободной энциклопедии

     
     
  • 5.29, adolfus (ok), 14:57, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тем более, мало кто знает, что этот самый nc.exe написан не Питером Нортоном, а неким Socha, который просит заплатить за программу, чтобы его дети не ели картофельные очистки, о чем упомянуто в самой программе.
    Кстати, в этом nc.exe туева хуча бардака -- постоянная работа с памятью, которая уже free(), работа с памятью за пределами запрошенной. Особенно доставляет кусок кода, который запускает процесс -- сначала память запрашивается malloc(), потом там готовится окружение и туда грузится и релокатится файл с диска, потом вся эта память освобождается free(), потом хачится стек, потом этому коду, который в free()'d памяти, передается управление.


     
     
  • 6.33, Andrey Mitrofanov (?), 15:20, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > кусок кода, который запускает процесс -- сначала память запрашивается malloc(), потом
    > там готовится окружение и туда грузится и релокатится файл с диска,
    > потом вся эта память освобождается free(), потом хачится стек, потом этому
    > коду, который в free()'d памяти, передается управление.

    Дети уже не в курсе жизни в 640К, которых хватит всем...  ---эхмаладёжжжжжжж

     
     
  • 7.48, Стремящийся (?), 17:57, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> кусок кода, который запускает процесс -- сначала память запрашивается malloc(), потом
    >> там готовится окружение и туда грузится и релокатится файл с диска,
    >> потом вся эта память освобождается free(), потом хачится стек, потом этому
    >> коду, который в free()'d памяти, передается управление.
    > Дети уже не в курсе жизни в 640К, которых хватит всем...  
    > ---эхмаладёжжжжжжж

    640к было у самых удачливых. Были и меньшие объемы, если не изменяет склероз у того же Поиска было 512. Было довольно забавно отлаживать каким-нибудь turbo debbugerом, который отжирал 480к.

     
  • 6.47, Стремящийся (?), 17:55, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А как эта хрень тормозила, по-сравнению с волковым, даже вспоминать тошно.

    Как и Кошмарский - блюдут традиции тормознутости еще с MS/PC/DR-DOS времен.

     
  • 6.50, Аноним (-), 18:33, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Volkov Commander рулил, когда памяти стало больше победил фичастый Dos Navigator.
     
     
  • 7.54, Пользователь Debian (?), 23:10, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А мне нравился Handshaker Connect http://old-dos.ru/files/file_203.html
     
  • 4.53, sdfsf (?), 22:20, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    хорошо, что veritas от них отделился
     

  • 1.5, Сергей (??), 10:58, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вроде Intel их купил...
     
     
  • 2.8, Admino (ok), 11:11, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Intel купил McAfee.

    http://www.mcafee.com/ru/index.html

     
  • 2.55, sliodbuioaschiouahdruio (?), 23:39, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    филиал тамошней гебни
     

  • 1.6, Аноним (-), 11:00, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    безопасность без исходников

    /0

     
     
  • 2.7, vitalif (ok), 11:05, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +22 +/
    Безысходность
     
     
  • 3.12, АНОНКО (?), 11:45, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Безысходность

    Безысходниковость

     

  • 1.10, arisu (ok), 11:38, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    > Функции распаковки выполняются в основном движке
    > системы защиты, работающем на уровне ядра в
    > Windows и в форме привилегированного процесса
    > в Linux (продукт запускается с правами root),
    > без применения механизмов изоляции от остальной
    > системы.

    ВЯЯЯЯ! это же… великолепно! это АРХИТЕКТУРИЩА! вот так вот пишут серьёзные дяди за большие деньги — не то что всякие там прыщавые студенты! перенимайте опыт, опенсорсные босяки!

     
     
  • 2.60, Вареник (?), 01:38, 01/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Так у опенсорсных тоже ВСЕ В ЯДРЕ. Уже JS в монолит залили.
     

  • 1.13, АнонимХ (ok), 11:58, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > код некоторых распаковщиков заимствован из открытых библиотек
    > GPL

    Во всем виноват Столлман! В свободных библиотеках одни ошибки, что в очередной раз подтверждает новость. Это же как сообщество подвело добросовестную корпорацию то!

     
     
  • 2.16, Саня (??), 12:09, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он не обновлялся СЕМЬ лет у них, а за эти семь лет много чего нашли, кто им злобный буратин?
     
     
  • 3.17, A.Stahl (ok), 12:15, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Предписываю тебе СЕМЬ лет курсов по идентификации сарказма:)
     
     
  • 4.20, тоже Аноним (ok), 12:28, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Предлагаю тег <sarcasm !important>
     
     
  • 5.22, A.Stahl (ok), 12:40, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сарказм, о котором предупредили, это так же уныло, как шутка, объяснённая рассказчиком.
     
     
  • 6.24, Andrey Mitrofanov (?), 12:55, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Сарказм, о котором предупредили, это так же уныло, как шутка, объяснённая рассказчиком.

    Да! Однозначно. Даже более уныло, чем "шуточки" про Столмана в новости про [не-]безопасность проприертарщиков Симантека, Гугля, Рошаля. </детектируй это>

     
  • 6.25, тоже Аноним (ok), 13:07, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А сарказм, который очевиден, но проходит незамеченным - это весело и молодежно.
     
  • 3.18, АнонимХ (ok), 12:17, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Но ведь 7 лет назад эти ошибки были свежими - вот оно качество свободного софта. Разьве сейчас лучше, по сравнению с 2009 годом?
     
     
  • 4.19, okmijn (?), 12:25, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Столман всёравно виноват. Переписать или написать своё,это же денег стоит. А тут лежит в открытую - бери да пользуй! Тока изза Столмановских ошибок теперь такой вот косячёк на репутации симантэка. </sarcasm =>
     
     
  • 5.23, Andrey Mitrofanov (?), 12:48, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Столман всёравно виноват.
    > теперь такой вот косячёк на репутации симантэка. </sarcasm =>

    You're a lying b-tard. Stallman works as designed. </doubled it>

     

  • 1.14, тоже Аноним (ok), 11:58, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры.

    Исправляем: "программные продукты, предназначенные для неавторизованного вторжения в систему, маскируются под антивирусы". Плюс договоренность с производителями ноутбуков, предустанавливающих этот крап в систему... молодцы, в общем.

     
     
  • 2.15, ryoken (ok), 12:03, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры.
    > Исправляем: "программные продукты, предназначенные для неавторизованного вторжения
    > в систему, маскируются под антивирусы". Плюс договоренность с производителями ноутбуков,
    > предустанавливающих этот крап в систему... молодцы, в общем.

    Symantec КРАСОТА :D
    Вот чуял я, что там что-то не так :D.

     

  • 1.21, Аноним (-), 12:29, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    pri chem zdes eta proprietarshina?
     
     
     
     
    Часть нити удалена модератором

  • 4.30, тоже Аноним (ok), 14:59, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > привело к проблемам, когда Google наехал на MS IE, а в ответ MS раскрыл дырку в Chrome.

    Проблемы - это как раз когда оба заткнулись и помалкивают об известных дырках.
    А пользователям - чем больше средств тратят игроки этого рынка на аудит безопасности друг друга, тем лучше.

     
     
     
    Часть нити удалена модератором

  • 6.35, Ordu (ok), 15:33, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Байесианство говорит о том, что дополнительная информация должна сказываться на принятии решений либо в лучшую сторону, либо никак. Если в вашем случае она сказывается отрицательно, значит ваша голова как-то не так работает. Скурите какой-нибудь мануал по теории принятия решений -- не обязательно байесовую, можно любую.
     
     
  • 7.37, Аноним (-), 16:00, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    клоун: байесианство относится к теории вероятности, в данном случае разумнее применять теорию игр. Я описываю ситуацию игры с неполной (или даже недостоверной) информацией, которую вы считаете полной и достоверной.
     
     
  • 8.46, Ordu (ok), 17:49, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Окей На правах ликбеза У Перла http bayes cs ucla edu jp_home html есть кн... текст свёрнут, показать
     
  • 3.28, АнонимХ (ok), 14:49, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда клоун и не смешные вещи говорит, да
     
  • 3.36, Аноним84701 (?), 15:58, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > единственной задачей которого является поиск ошибок в продуктах конкурентов.

    Вообще-то Symantec и Norton довольно известны своими фейлами в "узких кругах" интересующихся.
    В том же matousec-е с последних мест не слезают:
    http://www.matousec.com/projects/proactive-security-challenge-64/reports/PSC6
    хотя там некоторые тесты (код кстати открыт), типа записи в реестре в "Software\\Microsoft\\Windows\\CurrentVersion\\Run" загрузки "злобной" либы или перезаписи файлов самого "охранного ПО" – классика постарше некоторых летних экспертов-волонтеров опеннета )

    Если интересно:
    joxeankoret.com/download/breaking_av_software_44con.pdf
    Фейл на фейле и фейлом подгоняет (и так — из года в год)

     
     
  • 4.41, тоже Аноним (ok), 16:18, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну что вы! Symantec - крутая фирма, она веников не вяжет.
    Когда-то была у них довольно популярная утилита - Disk Doctor.
    Профессиональный инструмент, понимаешь. Про диск могла все-все рассказать.
    И вот однажды она таки рассказала мне все про мой тогдашний винчестер.
    Какие у него цилиндры, дорожки и вообще - сколько в этом жестком диске байт.
    Последнее число я, правда, за давностью лет не помню.
    А вот то, что оно было НЕЧЕТНЫМ - это незабываемо!
    Энтерпрайз же, профи на профи сидит и погоняет... и погоняет... пока не погонит...
     
     
  • 5.45, ryoken (ok), 16:58, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну что вы! Symantec - крутая фирма, она веников не вяжет.
    > Когда-то была у них довольно популярная утилита - Disk Doctor.

    ...которую некоторые знакомые небезосновательно именовали не иначе как Norton Disk Destroyer. По личным ощущениям, у них под венды NT-2K только SpeedDisk был толковый и то потому, что в обход винды работать умел.

     
     
  • 6.49, Crazy Alex (ok), 18:08, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, как насчёт виндовых времён - а в досовские это была единственная утилита, которая могла помочь восстановаить убитую таблицу разделов. Вообще - именно как профессиональная утилита (т.е. ты понимаешь, что происходит и можешь как-то осмысленно принимтаь решения) он был вполне ничего. Собственно, альтернатив тогда и не было особо.
     
     
  • 7.51, ryoken (ok), 19:27, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю, как насчёт виндовых времён - а в досовские это была
    > единственная утилита, которая могла помочь восстановаить убитую таблицу разделов. Вообще
    > - именно как профессиональная утилита (т.е. ты понимаешь, что происходит и
    > можешь как-то осмысленно принимтаь решения) он был вполне ничего. Собственно, альтернатив
    > тогда и не было особо.

    Мнээ... Так, если я правильно помню, был же вроде в их комплекте тот же DiskEdit, hex-редактор? Ну это уже когда совсем труба и чловек знает, куда лезет :).

     
  • 3.40, Аноним (-), 16:10, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У господина/господ выше какие-то детские травмы связаны с клоунами)
     
     
  • 4.42, тоже Аноним (ok), 16:22, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > У господина/господ выше какие-то детские травмы связаны с клоунами)

    Там темная история. Говорят, его в студенческой столовой покусал Рональд МакДональд.
    Теперь с нами общается мутант: Дональд M$Дак.
    А господин он, господа или тварь дрожащая - ему и самому не всегда понятно...

     
     
  • 5.56, euugftw3ef33u5u (?), 00:56, 30/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >M$Дак

    MSFucк

     
  • 4.43, Аноним84701 (?), 16:35, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > У господина/господ выше какие-то детские травмы связаны с клоунами)

    С тех пор, как запретили клоунов-анонимов бедняге приходится вот так извращаться.
    Почему бы не троллить просто под другим ником – се тайна великая есть! (ну или действительно, как подозревают некоторые — это не "идейный" защитник МСца и определенный ник нужен для отчетности) )

     
     
  • 5.52, soarin (ok), 20:31, 29/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я прям представил. Сидит такой Сатья Наделла, и тут ему приносят годовой отчет по затратам:
    реклама windows фонов, азуры, ..., клоун.
     

  • 1.32, Аноним (-), 15:18, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > документов PowerPoint и Microsoft Office

    PowerPoint перестал быть частью Microsoft Office?

     
  • 1.34, Аноним (-), 15:21, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как хорошо...
     
  • 1.39, Аноним (-), 16:08, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Эх, название Нортон вызывало такую ностальгию)
     
  • 1.44, Аноним (-), 16:53, 29/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Symantec пишется теме же самыми вирусописателями, это показательное качество вирусов и их защитников.
     
  • 1.59, Аноним (-), 11:10, 30/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Эх, название Нортон вызывало такую ностальгию)

    Ностальгию по Windows? Мди десятка тебя ждёт.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру