{"id":177541,"date":"2016-05-17T15:04:47","date_gmt":"2016-05-17T13:04:47","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=177541"},"modified":"2022-11-13T11:28:06","modified_gmt":"2022-11-13T10:28:06","slug":"symantec-patzt-av-produkte-unsicher","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/05\/17\/symantec-patzt-av-produkte-unsicher\/","title":{"rendered":"Symantec patzt: AV-Produkte unsicher!"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\" align=\"left\"\/>In allen Sicherheitsprodukten von Symantec, also auch in der Norton Antivirus\/Internet Security Line klafft eine kritische Sicherheitsl\u00fccke. Updates sind bereits verf\u00fcgbar. Nachtrag: Es kommen jetzt Details ans Licht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/04ff852fc1494ca4b9553529256cd1da\" width=\"1\" height=\"1\"\/>Es gab von mir mal eine flapsige Bemerkung, dass die gr\u00f6\u00dfte Bedrohung f\u00fcr die Sicherheit eines Anwender-PCs die verwendete Antivirus-L\u00f6sung sei. Rief teilweise heftige Proteste hervor. Aber die Bemerkung basierte auf der Beobachtung, dass die AV-Hersteller immer wieder patzten und Sicherheitsl\u00fccken aufrissen \u2013 oder Windows auf's Kreuz legten. <\/p>\n<h3>Ein Tweet bringt das Ganze ins Rollen<\/h3>\n<p>Nun hat Tavis Ormandy, Sicherheitsspezialist bei Google, gestern Nacht <a href=\"https:\/\/twitter.com\/taviso\/status\/732208673850687489\" target=\"_blank\" rel=\"noopener\">einen Tweet<\/a> ver\u00f6ffentlicht, in dem er auf ein fettes Sicherheitsproblem in den Symantec-Sicherheitsprodukten hinweist.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Critical Symantec fix being released later today via LiveUpdate. The other critical RCE vulns cant be fixed via LU, will require a patch.<\/p>\n<p>\u2014 Tavis Ormandy (@taviso) <a href=\"https:\/\/twitter.com\/taviso\/status\/732208673850687489\">16. Mai 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Laut Ormandy soll ein Update per Live Update im Laufe des Tages (also gestern) herauskommen. Nachtrag: Bisher sind nicht alle Baustellen durch Updates geschlossen. Betroffen sind alle Plattformen (Windows, OS X und Linux). Bei heise.de geht <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Kritische-Luecke-gefaehrdet-Antiviren-Produkte-von-Symantec-und-Norton-3208967.html\" target=\"_blank\" rel=\"noopener\">dieser Artikel<\/a> noch ein wenig auf das Thema ein. Warum ich generell Bauchschmerzen bei den Fremd-AV-L\u00f6sungen habe, wurde im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2015\/09\/05\/windows-10-welche-antivirus-lsung-soll-ich-einsetzen\/\">Windows 10: Welche Antivirus-L\u00f6sung soll ich einsetzen?<\/a> thematisiert.<\/p>\n<h3>Ein paar Details werden bekannt<\/h3>\n<p>Bei ZDNet.com geht man in <a href=\"http:\/\/www.zdnet.com\/article\/symantec-antivirus-products-vulnerable-to-horrid-overflow-bug\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> auf Probleme unter Windows ein. Problem: Die AV-Engine (oder besser der Filtertreiber) l\u00e4uft im Kernel von Windows (oder anderer Betriebssysteme) mit. Jedes Problem in dieser AV-Engine kippt damit das Betriebssystem \u2013 ist so by design.<\/p>\n<p>Und die Symantec Antivirus Engine hat eine echtes Problem: Bereits beim Parsen eines pr\u00e4parierten Portable-Executable (PE) Header Files kann ein Buffer Overflow auftreten. Ein Buffer Overflow im Kernel endet dann unter Windows in einem Blue Screen \u2013 Stop-Fehler 0x50 &#8211; (nicht der erste bei AV-Produkten).<\/p>\n<p><img decoding=\"async\" title=\"BSOD Symantec\" alt=\"BSOD Symantec\" src=\"https:\/\/i.imgur.com\/T8oPvsA.jpg\"\/><br \/>(Quelle: Google)<\/p>\n<p>Tavis Ormandy hat seine Analyse, teilweise mit einem Debug-Log in <a href=\"https:\/\/bugs.chromium.org\/p\/project-zero\/issues\/detail?id=820\" target=\"_blank\" rel=\"noopener\">diesem Google-Dokument<\/a> ver\u00f6ffentlicht. Und einige Details sind besonders pikant. <\/p>\n<blockquote>\n<p>On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process. On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf!!!), making this a remote ring0 memory corruption vulnerability &#8211; this is about as bad as it can possibly get.<\/p>\n<\/blockquote>\n<p>Das sind dann die Stellen, wo ich mit obiger Theorie von der gr\u00f6\u00dften Sicherheitsl\u00fccke auf Anwendersystemen einschlage. Das ist ja nicht das erste Mal, dass genau so etwas passiert.<\/p>\n<h3>Stoppeln auf hohem Niveau \u2026<\/h3>\n<p>Und der weitere Verlauf zeigt, wie da gestoppelt wird. Tavis Ormandy hat versucht, seine Entdeckung an Symantec zu senden. Dazu schicken die Sicherheitsforscher \u00fcblicherweise eine Mail an einen Symantec Mail-Server. Ormandy schreibt:<\/p>\n<blockquote>\n<p>think Symantec's mail server guessed the password \"infected\" and crashed (this password is commonly used among antivirus vendors to exchange samples), because they asked if they had missed a report I sent. <\/p>\n<p>They had missed the report, so I sent it again with a randomly generated password. <\/p>\n<\/blockquote>\n<p>Offenbar ist seine erste Mail bei Symantec nicht angekommen. Er vermutet, dass der Mail-Server das Passwort \"infected\" beim Mailempfang angenommen habe und dann abgest\u00fctzt sei. Dieses Passwort wird standardm\u00e4\u00dfig von Sicherheitsforschern verwendet, um Samples auszutauschen. Er musste dann die Samples mit einem zuf\u00e4llig generierten Kennwort versenden, damit Symantec diese erhielt. Ich glaube, bald sind wir so weit, dass solche Samples per reitendem Boten \u00fcberbracht werden m\u00fcssen. <\/p>\n<p>Symantec hat ein <a href=\"https:\/\/web.archive.org\/web\/20180524223632\/https:\/\/www.symantec.com\/security_response\/securityupdates\/detail.jsp?fid=security_advisory&amp;pvid=security_advisory&amp;year=&amp;suid=20160516_00\" target=\"_blank\" rel=\"noopener\">Security Advisory zum PE-Parsing-Fehler<\/a> freigegeben. Pfingstmontag wurde ein Fix per Live Update von Symantec verteilt, so dass diese L\u00fccke geschlossen sein d\u00fcrfte. <\/p>\n<p><strong>\u00c4hnliche Artikel<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2016\/02\/04\/comodo-sicherheitsdesaster-beim-chromio-browser\/\">Comodo: Sicherheitsdesaster beim Chromodo-Browser<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/09\/03\/comodo-antivirus-killt-chrome-45-browser-per-code-injection\/\">Comodo Antivirus killt Chrome 45-Browser per Code-Injection<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/02\/23\/neues-ssl-problem-comodo-liefert-adware-privdog-aus\/\">Neues SSL-Problem: Comodo liefert \u201aAdware' Privdog aus<\/a><br \/><a href=\"https:\/\/web.archive.org\/web\/20201202215918\/https:\/\/borncity.com\/blog\/2016\/02\/05\/kollateralschaden-nod32-antivirus-9-killt-ggf-htts-encryption\/\">Kollateralschaden: NOD32 Antivirus 9 killt ggf. htts-Encryption<\/a><br \/><a href=\"https:\/\/web.archive.org\/web\/20210619181232\/https:\/\/borncity.com\/blog\/2016\/01\/14\/sicherheitslcke-in-trend-micro-schutzsoftware\/\">Sicherheitsl\u00fccke in Trend Micro-Schutzsoftware<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/11\/12\/sicherheitslcke-in-symantec-endpoint-protection\/\">Sicherheitsl\u00fccke in Symantec Endpoint Protection<\/a><br \/><a href=\"https:\/\/web.archive.org\/web\/20210415105544\/https:\/\/borncity.com\/blog\/2015\/12\/16\/sicherheitslcke-in-sophos-utm\/\">Sicherheitsl\u00fccke in Sophos UTM<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2015\/09\/05\/windows-10-welche-antivirus-lsung-soll-ich-einsetzen\/\">Windows 10: Welche Antivirus-L\u00f6sung soll ich einsetzen?<br \/><\/a><a href=\"https:\/\/borncity.com\/blog\/2016\/03\/27\/windows-10-vorsicht-bei-bitdefender-internet-security-2015\/\">Windows 10: Vorsicht bei Bitdefender Internet Security 2015<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In allen Sicherheitsprodukten von Symantec, also auch in der Norton Antivirus\/Internet Security Line klafft eine kritische Sicherheitsl\u00fccke. Updates sind bereits verf\u00fcgbar. Nachtrag: Es kommen jetzt Details ans Licht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[5005,1782,3379],"class_list":["post-177541","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-norton","tag-sicherheitslucke","tag-symantec"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177541","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=177541"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/177541\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=177541"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=177541"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=177541"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}