Google-Forscher entdeckt kritische Schwachstellen in Symantec- und Norton-Produkten

Der Sicherheitsforscher Tavis Ormandy, Mitarbeiter von Googles Project Zero, hat Details zu mehreren Schwachstellen in 15 Symantec-Enterprise-Produkten und 9 Norton-Consumer-Produkten veröffentlicht. Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode ohne Interaktion mit dem Nutzer.

„Diese Anfälligkeiten sind so schlimm, schlimmer geht’s nicht“, schreibt Ormandy in einem Blogeintrag. „Sie betreffen die Werkseinstellungen und die Software wird mit den höchst möglichen Rechten ausgeführt. Unter Windows wird der anfällige Code unter bestimmten Umständen sogar in den Kernel geladen, was zu einem Kernel-Speicherfehler führt.“

Es seien so viele Symantec- und Norton-Produkte betroffen, da Symantec dieselbe Core Engine für alle seine Produkte verwende, so Ormandy weiter. Einem Advisory des Unternehmens zufolge sind unter anderem Symantec Endpoint Protection, Symantec E-Mail Security, Symantec Protection Engine, Norton AntiVirus, Norton 360 und Norton Security anfällig. Ormandy weist zudem darauf hin, dass einige dieser Produkte nicht automatisch aktualisiert werden können.

Eine Sicherheitslücke steckt im von Symantec verwendeten Unpacker. Er wird benötigt, um komprimierte ausführbare Dateien vor der Analyse zu entpacken. Hier ist es ausreichend, einem Opfer eine speziell präparierte Datei per E-Mail zu schicken. Wird die E-Mail von einer anfälligen Symantec- oder Norton-Software gescannt, wird ein Pufferüberlauf ausgelöst, der einem Angreifer unter Linux und Mac OS X Root-Rechte und unter Windows Kernel-Rechte verschafft.

Darüber hinaus wirft Ormandy dem Sicherheitsanbieter vor, Code aus Open-Source-Bibliotheken wie libmspack und unrarsrc seit mindestens sieben Jahren nicht aktualisiert zu haben. „Symantec ist von dutzenden öffentlich bekannten Anfälligkeiten in diesen Bibliotheken betroffen. Wir haben Symantec Beispiele geschickt und sie haben festgestellt, dass sie bei den Veröffentlichungen hinterherhinken.“

Symantec hat inzwischen Patches für die anfälligen Produkte veröffentlicht. Details dazu finden sich in der Sicherheitsmeldung des Unternehmens. Symantec betont, dass die Sicherheitslücken bisher nicht für aktive Angriffe benutzt werden.

Es ist nicht das erste Mal, das Ormandy schwerwiegende Fehler in Symantecs Antivirus Engine entdeckt hat. Im Mai beschrieb er eine Lücke, die ebenfalls ohne Nutzerinteraktion zu einer Remotecodeausführung führte. Auch hier war sein Fazit: es ist „etwa das Schlimmste, was passieren konnte.“

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.