Eine kritische Sicherheitslücke besteht unter anderem im Kern der Scan-Engine von Symantec. Alle Antiviren-Anwendungen von Symantec sind laut dem Sicherheitsforscher und Entdecker der Schwachstellen Tavis Ormandy betroffen.

Auch die Norton Antivirus-Produkte sollen betroffen sein, da die Engine dort auch zum Einsatz kommt. Die Plattformen Windows, Linux, Mac OS X und Unix sind Ormandy zufolge gefährdet.

Bereits gestern wurden einige Lücken in der Engine automatisch über Symantecs LiveUpdate behoben worden sein. Ormandy erläutert, dass die kritische Lücke jedoch einen Sicherhheits-Patch erfordere. Aktuell ist noch nicht bekannt, wann dieser erscheinen.

Beim Parsen von ausführbaren Dateien, die mit einer frühen Version von ASPpack gepackt wurden, befindet sich die gefährlichste Lücke, so Ormandy. Angreifer können nach einer erfolgreichen Attacke einen Speicherfehler provozieren und anschließend aus der Ferne eigenen Code auf verwundbare Systeme schieben und ausführen. Opfer müssen nur eine präparierte Datei öffnen oder eine manipulierte Webseite besuchen, um den Angriff einzuleiten.

Auf verwundbaren Systemen kann über eine Proof-of-Concept-Datei eine Kernel-panic-Meldung ausgelöst werden, wobei es genügt, die Datei herunterzuladen.

Der Übergriff soll auf Linux-, Mac-OS-X- und Unix-Systemen mit Root-Rechten innerhalb des Norton-/Symantec-Prozesses stattfinden. Da die Scan Engine unter Windows in den Kernel geladen wird, ist das Resultat Ormandy zufolge noch gravierender. Der Angreifer befindet sich nach einer erfolgreichen Attacke demnach im Ring 0 des x86-Systems und verfügt über die höchste Berechtigungsstufe.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE