По словам исследователя Google Project Zero Тэвиса Орманди, в 25 продуктах Symantec найдены уязвимости, не все из которых могут быть исправлены с помощью автоматических патчей.
Для использования некоторых ошибок злоумышленник не должен вступать во взаимодействие с пользователем. Вредоносный код в ряде случаев может быть помещен в ядро Windows, поскольку продукция Symantec работает с самым высоким уровнем привилегий.
Уязвимости были обнаружены во всех антивирусных продуктах Norton и Symantec. Проблемы затрагивают как версии для Windows, так и для Linux и Mac.
Орманди утверждает, что основная ошибка разработчиков – работа непосредственно на уровне ядра операционной системы. С помощью уязвимостей в данном компоненте хакеры могут с легкостью захватывать контроль над системой.
Наиболее опасная по мнению Орманди брешь найдена в распаковщике ASPack. В ходе исследования этой проблемы эксперту удалось выявить другие уязвимости, являющиеся производными от основной. Они связаны с переполнением буфера и нарушением целостности информации в памяти. Поскольку работа распаковщика осуществляется непосредственно в пространстве ядра, это может повлечь печальные последствия.
Поскольку Symantec, чтобы перехватывать все системные I/O, применяет драйвер фильтрации, злоумышленнику просто нужно отправить жертве электронное письмо с эксплоитом или ссылкой на него для срабатывания ошибки. Жертва даже может и не открывать вредоносный файл. Взаимодействие с файлом для запуска эксплоита не нужно. Таким образом, уязвимость может принести разрушительные последствия для пользователей Norton и Symantec. Орманди подчеркнул, что злоумышленники могут без труда взломать все рабочие станции в корпоративной сети с помощью этой уязвимости.
Кроме того, в продуктах Symantec применяются такие библиотеки, как libmspack и unrarsrc, которые могут не обновляются на протяжении 7 лет. В результате в этих библиотеках, как утверждает Орманди, было найдено множество уязвимостей, некоторые из которых имеют готовые эксплоиты.
Представители Symantec поблагодарили Орманди за работу. Специалисты компании разработали исправления для выявленных уязвимостей. Но в некоторых продуктах Symantec системные администраторы все же должны самостоятельно поменять настройки.