Symantec
ha
confirmado una grave vulnerabilidad en el motor antivirus (Anti-Virus
Engine, AVE) que podría permitir a un atacante ejecutar código arbitrario en la
mayoría de productos Norton y Symantec.
La vulnerabilidad, con CVE-2016-2208, reside en un desbordamiento de búfer en el núcleo del motor antivirus empleado por la mayoría de productos Symantec y Norton, debido
al tratamiento de cabeceras PE (Portable Executable) específicamente
construidas. El problema afecta a todos los sistemas: Windows, Linux, Mac y
otras plataformas UNIX.
El problema fue descubierto y
anunciado por el ya conocido Tavis Ormandy de Project Zero de Google, en cuyo
informe confirma la posibilidad de ejecutar
código arbitrario de forma remota a pesar de que en el aviso
de seguridad de Symantec solo informa de una vulnerabilidad de denegación
de servicio.
Como la vulnerabilidad reside en
el núcleo del motor de análisis, la mayoría de productos Symantec son vulnerables,
esto incluye:
- Symantec Endpoint Antivirus (Todas las plataformas)
- Norton Antivirus (Todas las plataformas)
- Symantec Scan Engine (Todas las plataformas)
- Symantec Email Security (Todas las plataformas)
- etc.
Symantec ha corregido esta
vulnerabilidad en la última actualización de su motor, versión 20151.1.1.4 distribuida
a través de LiveUpdate. Se recomienda confirmar que se han recibido todas las
actualizaciones de LiveUpdate de forma manual.
Kernel memory corruption in Symantec/Norton antivirus, CVE-2016-2208 (more patches soon). https://t.co/Sqhm0a48Fp pic.twitter.com/F22xDIelSU— Tavis Ormandy (@taviso) 17 de mayo de 2016
Más información:
Security Advisories Relating to Symantec
Products - Symantec Antivirus Engine Malformed PE Header Parser Memory Access
Violation
Symantec/Norton Antivirus ASPack Remote
Heap/Pool memory corruption Vulnerability CVE-2016-2208
Antonio Ropero
Twitter: @aropero