Buffer Overflow in Symantecs Online-Virenscanner [Update]

In Symantecs ActiveX-Control des kostenlosen Online-Virenscanners "Symantec Security Check -- Virus Detection" ist ein Fehler enthalten, der einen Buffer Overflow provozieren kann und damit das Control zum Absturz bringt. Prinzipiell ist ein Angreifer damit auch in der Lage, beliebigen Code auf den Stack des Systems zu schreiben und im Kontext des Anwenders auszuführen.

Zum Scannen eines Windows-Rechners installiert der Dienst das Control "rufsi.dll", das drei Objekte registriert: Symantec.SymVAFileQuery.1, Symantec.SymVARegQuery1 und Symantec.SymUtility1. Im ersten Objekt prüft die Funktion "GetPrivateProfileString" die Länge einer übergebenen Zeichenkette (Dateinamen) nicht richtig. Extrem lange Strings -- mit mehr als 740.000 Zeichen -- führen dann zum Pufferüberlauf. Der Fehler lässt sich sowohl lokal als auch über eine manipulierte Webseite ausnutzen.

Der Entdecker der Sicherheitslücke -- Rafel Ivgi -- hat in einem Security Advisory ein Proof-of-Concept-Exploit veröffentlicht. Im heise-Security-Labor führte die Demo auf PCs mit verwundbaren ActiveX-Control zum Absturz der "rufsi.dll". Symantec hat bislang noch nicht reagiert. Anwender sollten das verwundbare Control "rufsi.dll" unter C:\Windows\Downloaded Program Files\ deinstallieren und ActiveX deaktivieren.

Mit der Problematik unsicherer ActiveX-Controls befasst sich auch der aktuelle Kommentar auf heise Security: (Un-)Sicheres ActiveX, die Xte

Update
Weitergehende Tests haben gezeigt, dass in Symantecs ActiveX-Controls kein Buffer Overflow enthalten ist, der das Einschleusen und Ausführen von Code ermöglicht. Vielmehr basiert der Fehler auf einer sogenannten Null-Pointer-Dereference, bei der der Versuch auf freigegebenen Speicher zuzugreifen zum Absturz führt.

Siehe dazu auch: (dab)

• Security Advisory von Rafel Ivgi