95348026-1c61-41c0-8371-2dda0739485c

Google-Sicherheitsforscher Tavis Ormandy hat einen Fehler in Symantecs Antivirus Engine entdeckt. Das Parsen präparierter Header-Informationen einer Datei im Format Portable-Executable (PE) kann zu einem Puffer-Überlauf führen.

Auf der Seite von Googles Project Zero heißt es, unter Linux, OS X oder anderen Unix-artigen Systemen führe der Exploit dazu, dass ein Heap Overflow ausgelöst werde. Unter Windows hingegen werde die Scan-Engine in den Kernel geladen, „was dies zu einer aus der Ferne nutzbaren ring0-Speicherkorruptions-Schwachstelle macht – etwa das Schlimmste, was passieren konnte.“

Somit belegt der Fall, dass es keine gute Idee war, unter Windows die Antiviren-Engine in den Kernel zu laden. Dies ist eine Schwachstelle, die Remote-Codeausführung ermöglicht. Weil Symantec einen Filter-Treiber einsetzt, um alle Systemkommunikation abzufangen, genügt es, einem Opfer eine Datei oder einen Link zu schicken. Die Dateiendung spiele übrigens keine Rolle. Typisches Zeichen für einen erfolgreichen Angriff dürfte ein Systemabsturz sein, der in einem Blue Screen of Death resultiert.

Laut Google Project Zero sind Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine und Symantec Email Security auf allen Plattformen betroffen.

Vielleicht sollte Symantec sich mehr auf die Qualität seiner Produkte konzentrieren und etwas weniger Werbung machen.
Das gute Produkte keine Werbung brauchen zeigt Sophos.
Zum Beispiel Sophos Cloud Antivirus. Top Antivirusprogramm ohne Schnickschnack.