Buffer Overflow in zahlreichen Produkten von Symantec
Symantec warnt vor einer kritischen Sicherheitslücke in zahlreichen älteren Versionen seiner Produkte. Angreifer können damit Sicherheits-Gateways und Endgeräte unter ihre Kontrolle bringen.
Symantec warnt vor einer kritischen Sicherheitslücke in älteren Versionen seiner Produkte. Angreifer können beispielsweise mit präparierten Dateianhängen in E-Mails auf Antiviren-Gateways und Endsystemen einen Heap-basierten Buffer Overflow provozieren, um Code auf das System zu schleusen und automatisch auszuführen. Prinzipiell funktioniert der Angriff auch über http und ftp, allerdings muss der Anwender hier den Download einer Datei selbst anstoßen.
Ursache des Problems ist das Modul DEC2EXE in Symantecs Antivirus-Library zum Parsen von mit UPX (Ultimate Packer for eXecuteables) gepackten Dateien. Insbesondere viele Würmer und Viren sind in diesem Format komprimiert. Beim Auspacken präparierter UPX-Files überprüft das Modul einen Offset im Header ausführbarer Dateien nicht richtig, sodass sich mit negativen Werten der Speicher mit Code überschreiben lässt.
Betroffen sind:
Symantec Norton Antivirus 2004 for Windows
Symantec Norton Internet Security 2004 (pro) for Windows
Symantec Norton System Works 2004 for Windows
Symantec Norton Antivirus 2004 for Macintosh
Symantec Norton Internet Security 2004 for Macintosh
Symantec Norton System Works 2004 for Macintosh
Symantec Norton Antivirus 9.0 for Macintosh
Symantec Norton Internet Security for Macintosh 3.0
Symantec Norton System Works for Macintosh 3.0
Norton AntiVirus for Microsoft Exchange 2.1 vor Build 2.18.85
Symantec Mail Security for Microsoft Exchange 4.0 vor Build 4.0.10.465
Symantec Mail Security for Microsoft Exchange 4.5 vor Build 4.5.3
Symantec AntiVirus/Filtering for Domino NT 3.1 vor Build 3.1.1
Symantec Mail Security for Domino 4.0 vor Build 4.0.1
Symantec AntiVirus/Filtering for Domino Ports 3.0
(AIX) vor Build 3.0.6
(OS400, Linux, Solaris) vor Build 3.0.7
Symantec AntiVirus Scan Engine 4.3 vor Build 4.3.3
Symantec AntiVirus for Network Attached Storage vor Build 4.3.3
Symantec AntiVirus for Caching vor Build 4.3.3
Symantec AntiVirus for SMTP 3.1 vor Build 3.1.7
Symantec Mail Security for SMTP 4.0 vor Build 4.0.2
Symantec Web Security 3.0 vor Build 3.0.1.70
Symantec BrightMail AntiSpam 4.0
Symantec BrightMail AntiSpam 5.5
Symantec AntiVirus Corporate Edition 9.0 vor Build 9.01.1000
Symantec AntiVirus Corporate Edition 8.01, 8.1.1
Symantec Client Security 2.0 vor Build 9.01.1000
Symantec Client Security 1.0, 1.0
Symantec Gateway Security 2.0, 2.0.1 - 5400 Series
Symantec Gateway Security 1.0 - 5300 Series
Nach Angaben von Symantec wird das fehlerhafte Modul inzwischen nicht mehr zum Parsen verwendet, da mittlerweile eine neue Scan-Engine diese Aufgabe übernehme. Bereits vor der Benachrichtigung über diesen Fehler durch ISS habe man das Modul von weiteren Upgrades ausgenommen. Man plane mit dem nächsten Wartungs-Update per LiveUpdate das Modul ganz aus den betroffenen Produkten zu entfernen.
Für die Appliances Gateway Security 5300 und 5400 Series stellt der Hersteller eigene Hot-Fixes bereit, um den Fehler zu beheben. Für Symantec Antivirus Corporate Edition und Symantec Client Security gibt der Tech-Support ebenfalls Maintenance-Releases heraus. Nähere Einzelheiten sind dem Original-Advisory von Symantec zu entnehmen.
Siehe dazu auch: (dab)
- Symantec UPX Parsing Engine Heap Overflow von Symantec
- Symantec AntiVirus Library Heap Overflow von ISS X-Force
