Sicherheits-Updates für zahlreiche Symantec-Produkte
Ein Fehler in Norton AntiVirus und Norton Internet Security ermöglicht das Einschmuggeln von Code. In der Corporate-Version steckt eine Privilege-Elevation-Schwachstelle.
- Daniel Bachfeld
Symantec hat Sicherheitslücken in mehreren seiner Produkte gemeldet. So findet sich in Norton AntiVirus 2005 bis 2006, Norton Internet Security 2005 bis 2006 sowie Norton System Works 2005 bis 2006 ein ActiveX-Control, über das Angreifer ihren Code in ein Windows-System schleusen können. Dazu genügt der Besuch einer präparierten Webseite. Das Control ist Bestandteil des Automated Support Assistant, der zur Fehlersuche auf dem PC dient.
Symantec stuft das Problem als gering ein, da das Control nur von bestimmten Webseiten gesteuert werden könne. Ein Angreifer müsse für eine erfolgreiche Attacke eine vertrauenswürdige Seite vorgaukeln. Ein Patch ist verfügbar, der bereits über LiveUpdate verteilt wird. Die Symantec-Corporate- und Enterprise-Produkte sind nicht betroffen. In Consumer-Produkten der Version 2007 ist der Fehler ebenfalls nicht enthalten.
Des Weiteren können am System angemeldete Anwender mit eingeschränkten Rechten über eine Schwachstelle in einem Treiber ihre Rechte erhöhen. Der Fehler steckt in Symantecs AntiVirus Corporate Edition und darüber hinaus in:
Norton AntiVirus
Norton Internet Security
Norton System Works
Symantec AntiVirus Corporate Edition
Symantec AntiVirus for Blue Coat Security
Symantec AntiVirus for CacheFlow Security Gateway
Symantec AntiVirus for Clearswift MIME Sweeper
Symantec AntiVirus for Inktomi Traffic Edge
Symantec AntiVirus for Microsoft ISA Server
Symantec AntiVirus for NetApp Filer/NetCache
Symantec BrightMail AntiSpam
Symantec Client Security
Symantec Mail Security for Domino
Symantec Mail Security for Exchange
Symantec Mail Security for SMTP
Symantec Scan Engine
Symantec Web Security for Windows
Betroffen sind aber nur die 32-Bit- und 64-Bit-Windows-Versionen der Produkte, also Windows NT, Windows 2000 und Windows XP. Die Versionen für Macintosh, Windows 95/98/ME, Linux und Solaris sind nicht verwundbar. Ursache des Problems sind die Treiber NAVEX15.SYS und NAVENG.SYS, die beim Aufruf von Funktionen für I/O-Control die angegebenen Adressen nicht kontrollieren. Ein Angreifer kann nach Angaben des Entdeckers (iDefense) diese Adressen manipulieren, eigene Codesegmente in den Speicher schreiben und mit Systemrechten starten. Auch ein am Scanner vorbeigeschlüpfter Schädling könnte diese Schwachstelle ausnutzen, um etwa die Sicherheitsfunktionen komplett lahmzulegen. Symantec hat Updates zum Download bereitgestellt, die die Lücke schließen sollen. Auch das Update der Virendefinitionsdatei vom 4. Oktober 2006 behebt den Fehler.
Siehe dazu auch: (dab)
- Symantec Automated Support Assistant: Vulnerabilities in Support Tool ActiveX Control, Fehlerbericht von Symantec
- Symantec Device Driver Elevation of Privilege, Fehlerbericht von Symantec
- Symantec AntiVirus IOCTL Kernel Privilege Escalation Vulnerability, Fehlerbericht von iDefense
