Mehrere Schwachstellen in Symantec-Produkten [Update]

In Produkten von Symantec wurden mehrere Sicherheitslücken entdeckt, durch die lokale Anwender ihre Rechte ausweiten, Angreifer aus dem Netz einen Denial-of-Service auslösen oder fremden Code ausführen können.

In Pocket speichern vorlesen Druckansicht 91 Kommentare lesen
Lesezeit: 3 Min.
Von

In Symantecs Produkten für Endkunden und Unternehmen führen Schwachstellen dazu, dass Anwender ihre Rechte erhöhen oder bösartige Individuen aus dem Netz gegen die Software einen Denial-of-Service-Angriff ausführen können; in einem Fall könnte möglicherweise auch eingeschleuster Schadcode zur Ausführung kommen. Die Fehler betreffen Symantecs Antivirus, Client Security, Backup Exec und die Norton-Produktlinie des Unternehmens.

In Backup Exec for Windows Servers 10.0, 10d und 11d kann ein Pufferüberlauf auftreten, wenn eine Benutzeranfrage an den RPC-Server auf Port 6106 in einen Puffer fester Größe kopiert wird. Eine Anmeldung des Angreifers ist dazu laut iDefense nicht nötig. Ein Angriff kann zu einem Absturz des Dienstes führen, möglicherweise lässt sich so jedoch auch Schadcode einschleusen.

Wenn der Hintergrundwächter RTVScan von Symantecs Antivirus Corporate Edition 9.0, 10.0, 10.1 und Client Security 2.0, 3.0 und 3.1 konfiguriert ist, eine Meldung über gefundene Schädlinge auszugeben, können Anwender mit eingeschränkten Benutzerkonten darüber ihre Rechte ausweiten. Der E-Mail-Scanner in Symantec Antivirus Corporate Edition 9.x und 10.0 sowie in Client Security 2.0 und 3.0 kann abstürzen, wenn eine zu prüfende E-Mail im Empfänger-, Absender- oder Betreff-Feld einen Eintrag mit mehr als 951 Zeichen enthält. In der Folge überprüft die Software weitere Mails nicht mehr.

Die Produkte Norton AntiSpam 2005, Antivirus, Internet Security, Personal Firewall und System Works in den Versionen 2005 und 2006 sowie Symantec Antivirus Corporate Edition 9.x, 10.0 und 10.1 und Client Security 2.0, 3.0 und 3.1 enthalten den Kernel-Treiber symtdi.sys. Dieser überprüft vom Benutzer übergebene Daten in einem Interrupt-Request-Packet (IRP) nicht korrekt. Dadurch können lokale Anwender ihre Rechte auf SYSTEM-Ebene ausweiten.

Update:
Eine weitere Sicherheitsmeldung erläutert Sicherheitslücken beim Verarbeiten von Archiven im RAR- und CAB-Format. Manipulierte RAR-Dateien können einen Denial-of-Service provozieren, da sie die Entpackroutinen in eine Endlosschleife schicken. Fehlerhafte Längenprüfungen beim Entpacken von CAB-Archiven können sogar zur Ausführung von fremden Programmcode führen. Die Sicherheitslücke betrifft nahezu alle Unternehmens- und Endkundenprodukte von Symantec, eine genaue Auflistung findet sich in dem Sicherheitsbericht.

In den Sicherheitsmeldungen hat Symantec Patches verlinkt, die die Sicherheitslücken schließen. Während Unternehmenskunden die Patches von fileconnect.symantec.com selbst herunterladen und installieren müssen, erhalten sie die Endkundenprodukte der Norton-Reihe auch über das Live-Update.

Siehe dazu auch:

(dmk)