The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.06.2016 10:12  Показательные критические уязвимости в продуктах Symantec и Norton

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продемонстрировали, что источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры. В 25 продуктах, связанных с обеспечением безопасности, выпускаемых под брендами Symantec и Norton, выявлено несколько критических уязвимостей, которые позволяют получить полный контроль над системой при выполнении проверки специально оформленного файла, без совершения каких-либо действий со стороны пользователя и проявляясь в конфигурации по умолчанию.

Проблемы затрагивают не только Windows, но и Linux. Проблемы присутствуют в коде распаковки исполняемых файлов, сжатых такими инструментами, как UPX и ASPack, а также в функциях разбора документов PowerPoint и Microsoft Office. Функции распаковки выполняются в основном движке системы защиты, работающем на уровне ядра в Windows и в форме привилегированного процесса в Linux (продукт запускается с правами root), без применения механизмов изоляции от остальной системы.

Примечательно, что изучение методов распаковки показало, что код некоторых распаковщиков заимствован из открытых библиотек, таких как libmspack и unrarsrc. При этом данный код не синхронизировался с оригинальными библиотеками уже 7 лет и содержит все устранённые в них за это время уязвимости. Libmspack распространяется под лицензией GPLv2, поэтому ещё не раскрытым остаётся вопрос возможного нарушения лицензии GPL.

Так как в продуктах Symantec применяется драйвер фильтрации, перехватывающий весь ввод/вывод, то для атаки достаточно отправить по электронной почте специально оформленный файл или отправить ссылку на эксплоит (пользователю не нужно открывать файл и ссылку, ПО для защиты само проанализирует контент). Так как проведение атаки не требует действий со стороны пользователя уязвимости могут быть использованы для создания червей, атакующих другие системы во внутренней сети.

  1. Главная ссылка к новости (https://googleprojectzero.blog...)
  2. OpenNews: Google представил проект Zero, нацеленный на повышение защищённости Сети
  3. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: symantec, norton
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, A.Stahl (ok), 10:29, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    >Symantec

    Эта конторка ещё жива? Я думал они рулили во времена nc.exe и Norton Utilities а потом к концу 90х благополучно сдохли. Или это совсем другая компания?

     
     
  • 2.2, _hide_ (ok), 10:53, 29/06/2016 [^] [ответить]    [к модератору]
  • +1 +/
    Это та же компания. Успешно превратили софт в бизнес (софт, конечно, в ГО, но бизнес сохранили) и стригут бабло на корпоративных клиентах в США.
     
  • 2.3, h31 (ok), 10:54, 29/06/2016 [^] [ответить]    [к модератору]
  • +1 +/
    Жива, жива. Только сейчас в основном занимается "безопасностью".
     
  • 2.4, Аноним (-), 10:54, 29/06/2016 [^] [ответить]    [к модератору]
  • +/
    Они, но вроде еще не сдохли. Я виртуалки VMWare бекапил через их Symantec Backup Exec.
     
     
  • 3.9, PnDx (ok), 11:15, 29/06/2016 [^] [ответить]    [к модератору]
  • +4 +/
    Перекупленный у Veritas в 20xx.
    Так же как антивирус (у Norton). "Nothing personal" в отношении Symantec обретает свой (неповторимый) окрас.
     
     
  • 4.11, Аноним (-), 11:41, 29/06/2016 [^] [ответить]     [к модератору]  
  • +/
    Немногие знают, но Коммандер тоже не их ... весь текст скрыт [показать]
     
     
  • 5.29, adolfus (ok), 14:57, 29/06/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Тем более, мало кто знает, что этот самый nc exe написан не Питером Нортоном, а ... весь текст скрыт [показать]
     
     
  • 6.33, Andrey Mitrofanov (?), 15:20, 29/06/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    > кусок кода, который запускает процесс -- сначала память запрашивается malloc(), потом
    > там готовится окружение и туда грузится и релокатится файл с диска,
    > потом вся эта память освобождается free(), потом хачится стек, потом этому
    > коду, который в free()'d памяти, передается управление.

    Дети уже не в курсе жизни в 640К, которых хватит всем...  ---эхмаладёжжжжжжж

     
     
  • 7.48, Стремящийся (?), 17:57, 29/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    640к было у самых удачливых Были и меньшие объемы, если не изменяет склероз у т... весь текст скрыт [показать]
     
  • 6.47, Стремящийся (?), 17:55, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    А как эта хрень тормозила, по-сравнению с волковым, даже вспоминать тошно.

    Как и Кошмарский - блюдут традиции тормознутости еще с MS/PC/DR-DOS времен.

     
  • 6.50, Аноним (-), 18:33, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Volkov Commander рулил, когда памяти стало больше победил фичастый Dos Navigator.
     
     
  • 7.54, Пользователь Debian (?), 23:10, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    А мне нравился Handshaker Connect http://old-dos.ru/files/file_203.html
     
  • 4.53, sdfsf (?), 22:20, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    хорошо, что veritas от них отделился
     
  • 1.5, Сергей (??), 10:58, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Вроде Intel их купил...
     
     
  • 2.8, Admino (ok), 11:11, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Intel купил McAfee.

    http://www.mcafee.com/ru/index.html

     
  • 2.55, sliodbuioaschiouahdruio (?), 23:39, 29/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    филиал тамошней гебни
     
  • 1.6, Аноним (-), 11:00, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    безопасность без исходников

    /0

     
     
  • 2.7, vitalif (ok), 11:05, 29/06/2016 [^] [ответить]    [к модератору]  
  • +22 +/
    Безысходность
     
     
  • 3.12, АНОНКО (?), 11:45, 29/06/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    > Безысходность

    Безысходниковость

     
  • 1.10, arisu (ok), 11:38, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +18 +/
    > Функции распаковки выполняются в основном движке
    > системы защиты, работающем на уровне ядра в
    > Windows и в форме привилегированного процесса
    > в Linux (продукт запускается с правами root),
    > без применения механизмов изоляции от остальной
    > системы.

    ВЯЯЯЯ! это же… великолепно! это АРХИТЕКТУРИЩА! вот так вот пишут серьёзные дяди за большие деньги — не то что всякие там прыщавые студенты! перенимайте опыт, опенсорсные босяки!

     
     
  • 2.60, Вареник (?), 01:38, 01/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Так у опенсорсных тоже ВСЕ В ЯДРЕ. Уже JS в монолит залили.
     
  • 1.13, АнонимХ (ok), 11:58, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    > код некоторых распаковщиков заимствован из открытых библиотек
    > GPL

    Во всем виноват Столлман! В свободных библиотеках одни ошибки, что в очередной раз подтверждает новость. Это же как сообщество подвело добросовестную корпорацию то!

     
     
  • 2.16, Саня (??), 12:09, 29/06/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Он не обновлялся СЕМЬ лет у них, а за эти семь лет много чего нашли, кто им злобный буратин?
     
     
  • 3.17, A.Stahl (ok), 12:15, 29/06/2016 [^] [ответить]    [к модератору]  
  • +16 +/
    Предписываю тебе СЕМЬ лет курсов по идентификации сарказма:)
     
     
  • 4.20, тоже Аноним (ok), 12:28, 29/06/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Предлагаю тег <sarcasm !important>
     
     
  • 5.22, A.Stahl (ok), 12:40, 29/06/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Сарказм, о котором предупредили, это так же уныло, как шутка, объяснённая рассказчиком.
     
     
  • 6.24, Andrey Mitrofanov (?), 12:55, 29/06/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Да Однозначно Даже более уныло, чем шуточки про Столмана в новости про не- ... весь текст скрыт [показать]
     
  • 6.25, тоже Аноним (ok), 13:07, 29/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    А сарказм, который очевиден, но проходит незамеченным - это весело и молодежно.
     
  • 3.18, АнонимХ (ok), 12:17, 29/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Но ведь 7 лет назад эти ошибки были свежими - вот оно качество свободного софта. Разьве сейчас лучше, по сравнению с 2009 годом?
     
     
  • 4.19, okmijn (?), 12:25, 29/06/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Столман всёравно виноват Переписать или написать своё,это же денег стоит А тут... весь текст скрыт [показать]
     
     
  • 5.23, Andrey Mitrofanov (?), 12:48, 29/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > Столман всёравно виноват.
    > теперь такой вот косячёк на репутации симантэка. </sarcasm =>

    You're a lying b-tard. Stallman works as designed. </doubled it>

     
  • 1.14, тоже Аноним (ok), 11:58, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры.

    Исправляем: "программные продукты, предназначенные для неавторизованного вторжения в систему, маскируются под антивирусы". Плюс договоренность с производителями ноутбуков, предустанавливающих этот крап в систему... молодцы, в общем.

     
     
  • 2.15, ryoken (ok), 12:03, 29/06/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Symantec КРАСОТА D Вот чуял я, что там что-то не так D ... весь текст скрыт [показать]
     
  • 1.21, Аноним (-), 12:29, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    pri chem zdes eta proprietarshina?
     
     
     
     
    Часть нити удалена модератором

  • 4.30, тоже Аноним (ok), 14:59, 29/06/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Проблемы - это как раз когда оба заткнулись и помалкивают об известных дырках А... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 6.35, Ordu (ok), 15:33, 29/06/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Байесианство говорит о том, что дополнительная информация должна сказываться на ... весь текст скрыт [показать]
     
     
  • 7.37, Аноним (-), 16:00, 29/06/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    клоун байесианство относится к теории вероятности, в данном случае разумнее при... весь текст скрыт [показать]
     
     
  • 8.46, Ordu (ok), 17:49, 29/06/2016 [^] [ответить]     [к модератору]  
  • +/
    Окей На правах ликбеза У Перла http bayes cs ucla edu jp_home html есть кн... весь текст скрыт [показать]
     
  • 3.28, АнонимХ (ok), 14:49, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Иногда клоун и не смешные вещи говорит, да
     
  • 3.36, Аноним84701 (?), 15:58, 29/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > единственной задачей которого является поиск ошибок в продуктах конкурентов.

    Вообще-то Symantec и Norton довольно известны своими фейлами в "узких кругах" интересующихся.
    В том же matousec-е с последних мест не слезают:
    http://www.matousec.com/projects/proactive-security-challenge-64/reports/PSC6
    хотя там некоторые тесты (код кстати открыт), типа записи в реестре в "Software\\Microsoft\\Windows\\CurrentVersion\\Run" загрузки "злобной" либы или перезаписи файлов самого "охранного ПО" – классика постарше некоторых летних экспертов-волонтеров опеннета )

    Если интересно:
    joxeankoret.com/download/breaking_av_software_44con.pdf
    Фейл на фейле и фейлом подгоняет (и так — из года в год)

     
     
  • 4.41, тоже Аноним (ok), 16:18, 29/06/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Ну что вы! Symantec - крутая фирма, она веников не вяжет.
    Когда-то была у них довольно популярная утилита - Disk Doctor.
    Профессиональный инструмент, понимаешь. Про диск могла все-все рассказать.
    И вот однажды она таки рассказала мне все про мой тогдашний винчестер.
    Какие у него цилиндры, дорожки и вообще - сколько в этом жестком диске байт.
    Последнее число я, правда, за давностью лет не помню.
    А вот то, что оно было НЕЧЕТНЫМ - это незабываемо!
    Энтерпрайз же, профи на профи сидит и погоняет... и погоняет... пока не погонит...
     
     
  • 5.45, ryoken (ok), 16:58, 29/06/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ну что вы! Symantec - крутая фирма, она веников не вяжет.
    > Когда-то была у них довольно популярная утилита - Disk Doctor.

    ...которую некоторые знакомые небезосновательно именовали не иначе как Norton Disk Destroyer. По личным ощущениям, у них под венды NT-2K только SpeedDisk был толковый и то потому, что в обход винды работать умел.

     
     
  • 6.49, Crazy Alex (ok), 18:08, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Не знаю, как насчёт виндовых времён - а в досовские это была единственная утилита, которая могла помочь восстановаить убитую таблицу разделов. Вообще - именно как профессиональная утилита (т.е. ты понимаешь, что происходит и можешь как-то осмысленно принимтаь решения) он был вполне ничего. Собственно, альтернатив тогда и не было особо.
     
     
  • 7.51, ryoken (ok), 19:27, 29/06/2016 [^] [ответить]    [к модератору]  
  • +/
    > Не знаю, как насчёт виндовых времён - а в досовские это была
    > единственная утилита, которая могла помочь восстановаить убитую таблицу разделов. Вообще
    > - именно как профессиональная утилита (т.е. ты понимаешь, что происходит и
    > можешь как-то осмысленно принимтаь решения) он был вполне ничего. Собственно, альтернатив
    > тогда и не было особо.

    Мнээ... Так, если я правильно помню, был же вроде в их комплекте тот же DiskEdit, hex-редактор? Ну это уже когда совсем труба и чловек знает, куда лезет :).

     
  • 3.40, Аноним (-), 16:10, 29/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    У господина/господ выше какие-то детские травмы связаны с клоунами)
     
     
  • 4.42, тоже Аноним (ok), 16:22, 29/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > У господина/господ выше какие-то детские травмы связаны с клоунами)

    Там темная история. Говорят, его в студенческой столовой покусал Рональд МакДональд.
    Теперь с нами общается мутант: Дональд M$Дак.
    А господин он, господа или тварь дрожащая - ему и самому не всегда понятно...

     
     
  • 5.56, euugftw3ef33u5u (?), 00:56, 30/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    >M$Дак

    MSFucк

     
  • 4.43, Аноним84701 (?), 16:35, 29/06/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    > У господина/господ выше какие-то детские травмы связаны с клоунами)

    С тех пор, как запретили клоунов-анонимов бедняге приходится вот так извращаться.
    Почему бы не троллить просто под другим ником – се тайна великая есть! (ну или действительно, как подозревают некоторые — это не "идейный" защитник МСца и определенный ник нужен для отчетности) )

     
     
  • 5.52, soarin (ok), 20:31, 29/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Я прям представил. Сидит такой Сатья Наделла, и тут ему приносят годовой отчет по затратам:
    реклама windows фонов, азуры, ..., клоун.
     
  • 1.32, Аноним (-), 15:18, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > документов PowerPoint и Microsoft Office

    PowerPoint перестал быть частью Microsoft Office?

     
  • 1.34, Аноним (-), 15:21, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как хорошо...
     
  • 1.39, Аноним (-), 16:08, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Эх, название Нортон вызывало такую ностальгию)
     
  • 1.44, Аноним (-), 16:53, 29/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Symantec пишется теме же самыми вирусописателями, это показательное качество вирусов и их защитников.
     
  • 1.59, Аноним (-), 11:10, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >Эх, название Нортон вызывало такую ностальгию)

    Ностальгию по Windows? Мди десятка тебя ждёт.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor