24 Symantec-Produkte über veralteten Code angreifbar

Peter Marwan,
Symantec (Bild: Symantec)

Angreifer können sie unter Umständen ausnutzen, um sich Root- respektive Kernel-Rechte zu verschaffen. Es reicht dazu aus, dass das Opfer eine per E-Mail zugesandte Datei mit Schadcode öffnet. Grund dafür ist laut Googles Project Zero, dass Symantec über sieben Jahre alten Code aus Open-Source-Bibliotheken verwendet.

Der bei Googles Project Zero beschäftigte Sicherheitsforscher Tavis Ormandy hat Einzelheiten zu insgesamt 24 Sicherheitslücken in Symantec-Produkten und Produkten der Symantec-Consumer-Sparte Norton veröffentlicht. Über die ist unter anderem das Einschleusen und Ausführen von Schadcode ohne Interaktion mit dem rechtmäßigen Nutzer eines Systems möglich.

Neben 15 Symantec-Produkten für Firmen sind auch 9 Norton-Consumer-Produkte betroffen. (Grafik: Symantec)
Neben 15 Symantec-Produkten für Firmen sind auch 9 Norton-Consumer-Produkte betroffen. (Grafik: Symantec)

“Sie betreffen die Werkseinstellungen und die Software wird mit den höchst möglichen Rechten ausgeführt. Unter Windows wird der anfällige Code unter bestimmten Umständen sogar in den Kernel geladen, was zu einem Kernel-Speicherfehler führt”, so Ormandy über die Sicherheitslücken. Seiner Ansicht nach sind die Lücken auf grobe handwerkliche Fehler des Herstellers zurückzuführen.

Die große Zahl der betroffenen Symantec-Produkte und Norton-Produkte erklärt sich dadurch, dass alle dieselbe Core Engine verwenden. Unter anderem steckt der sicherheitsrelevante Fehler in Symantec Endpoint Protection, Symantec E-Mail Security, Symantec Protection Engine, Norton AntiVirus, Norton 360 und Norton Security. Ormandy weist darauf hin, dass einige dieser Produkte nicht automatisch aktualisiert werden.

Eine weitere Sicherheitslücke weist zudem der von Symantec verwendete Unpacker auf, mit dem komprimierte ausführbare Dateien vor der Analyse entpackt werden. Sie kann ausgenutzt werden, wenn dem Opfer eine speziell präparierte Datei per E-Mail geschickt wird. Der Scan löst dann einen Pufferüberlauf aus, der einem Angreifer unter Linux und Mac OS X Root-Rechte und unter Windows Kernel-Rechte verschafft.

Google-Experte Ormandy wirft Symantec zudem vor, dass es Code aus Open-Source-Bibliotheken wie libmspack und unrarsrc seit mindestens sieben Jahren nicht aktualisiert habe. Daher steckten darin “dutzende öffentlich bekannte Anfälligkeiten”.

Inzwischen hat Symantec Patches veröffentlicht. Details dazu finden sich in der Sicherheitsmeldung des Unternehmens. Der Hersteller erklärt, dass ihm bisher keine Fälle bekannt seien, in denen die Sicherheitslücken für Angriffe ausgenutzt wurden.

Bereits im Mai hatte Ormandy schwerwiegende Fehler in Symantecs Antivirus Engine entdeckt. Diese Lücke konnte ebenfalls ohne Interaktion mit dem Nutzer für Remotecodeausführung missbraucht werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.