谷歌安全研究员Tavis Ormandy在赛门铁克的安全产品中发现了一系列漏洞。从这些漏洞的本质来看,它们影响了大量产品,而且自动更新并不能解决所有的问题。
研究人员表示,这些漏洞并不需要任何用户交互,它们影响的是默认配置以及以最高权限运行的软件。在Windows情况下,易受攻击的代码甚至会被加载到内核中,从而导致远程内核内存损坏问题。易受攻击的代码是ASPack,它是一款赛门铁克用来分析扫描恶意软件文件的商用软件。
Ormandy表示赛门铁克做错的地方在于以尽可能高的权限在操作系统的内核中运行这个组件。这个组件中的漏洞相当于给了攻击者一张完全控制系统的黄金入场券,第二阶段的利用无需升级访问权限。
除了这个主要问题即CVE-2016-2208外,研究人员还声称发现了多个堆溢出问题和内存损坏问题。研究人员还发现赛门铁克在产品中利用了多个开源库如libmspack和unrarsrc,但七年以来忘记了进行更新。攻击者只需通过其中的一个公开问题就能实施攻击。
Ormandy表示利用这些问题非常简单,其中有的问题甚至不需要任何用户交互,有的甚至自带向周围设备传播的功能。攻击者只需要向目标发送包含恶意且可利用其中一些问题的文件的邮件。此外,攻击者能够将利用代码进行在线托管,并且将恶意URL的链接内嵌到邮件里面。
受影响的产品包括大量老旧版本的诺顿产品、赛门铁克端点防护、赛门铁克邮件安全、赛门铁克保护引擎等。在所有的这些产品中,漏洞都是跨平台存在的。赛门铁克为所有受影响的产品发布了补丁。
五月份,Ormandy帮助赛门铁克修复了产品中的另外一个安全漏洞。此外,他还帮助其它软件厂商如火狐、ESET、卡巴斯基、Bromium、趋势科技、Comodo、Avast和AVG等公司修复过漏洞问题。