image

Symantec dicht ernstig beveiligingslek in anti-virussoftware

dinsdag 17 mei 2016, 11:29 door Redactie, 6 reacties

Symantec heeft een ernstig beveiligingslek in de eigen virusscanners en beveiligingssoftware gedicht waardoor een aanvaller kwetsbare computers kon overnemen zonder enige interactie van gebruikers. Het probleem bevond zich in de Anti-Virus Engine (AVE) die in de producten van Symantec aanwezig is.

Via een kwaadaardig bestand zou een aanvaller willekeurige code kunnen uitvoeren, zoals het installeren van malware. De anti-virussoftware van Symantec draait in de achtergrond op systemen en scant automatisch allerlei bestanden. Zodra een aanvaller een kwaadaardig bestand per e-mail verstuurt wordt deze e-mail automatisch gescand, ook al wordt het bericht niet door de gebruiker geopend. Op deze manier zou de kwetsbaarheid zonder interactie van gebruikers kunnen worden aangevallen.

Ook via het openen van een kwaadaardige website of het downloaden van een kwaadaardig bestand zou een aanvaller het lek kunnen aanvallen. Symantec heeft gisteren een update voor de AVE uitgebracht, te herkennen aan versienummer 20151.1.1.4, waarin het probleem is opgelost. De update zou in principe automatisch moeten worden geïnstalleerd, maar is ook handmatig te downloaden, zo laat Symantec in de advisory weten. De kwetsbaarheid werd ontdekt door Google-onderzoeker Tavis Ormandy. Hij laat via Twitter weten dat er ook een ander ernstig lek in de software aanwezig is, maar dat niet via LiveUpdate kan worden gepatcht.

Reacties (6)
17-05-2016, 13:22 door Anoniem
Dit gaat over PE header parsing. PE is de header van Windows executables. Dit is een basisfunctie van antivirus software en als zodanig is het zeer opvallend om daarin zo'n enorme blunder te vinden.
17-05-2016, 13:38 door [Account Verwijderd]
Het gevolg van dat zelfs een ontwikkelaar van anti-virussoftware niet alles continue 'brandveilig' kan aanbieden bewijst maar weer eens optimaal dat vooral de eindgebruiker argus-ogen moet hebben bij alles wat hij'zij download/aanklikt.
17-05-2016, 14:39 door Anoniem
Waarom spreekt het bericht over RCE maar de Symantec advisory over DoS? Project0 wil niet laden hier dus ik kan de details niet zien. Ik weet nu wel waarom mijn submission bij Norton in de wacht stond haha.
17-05-2016, 14:51 door Anoniem
Door Aha: Het gevolg van dat zelfs een ontwikkelaar van anti-virussoftware niet alles continue 'brandveilig' kan aanbieden

Nee, dit is gewoon een blunder van Symantec. Antivirus software moet enorm veel bestandsformaten ondersteunen, wat het risico op dergelijke fouten zeer groot maakt, vele malen groter dan veel andere software.

Het woord dat je moet gebruik in je zin is "continu" niet "continue".
18-05-2016, 11:47 door Anoniem
ja men kan elkaar in de zeik nemen maar
hoe zit het met de oplossing?
als je verstand van heeft?
want het betreft alle beveiliging van Smt.
begrijp ik er uit als je het goed leest en dat ene probleem kan men niet binnen halen met je update
een nieuwe softwarepakket?.........van ...Smt
zegt het maar?????????????????
19-05-2016, 10:20 door Anoniem
Door Aha: Het gevolg van dat zelfs een ontwikkelaar van anti-virussoftware niet alles continue 'brandveilig' kan aanbieden bewijst maar weer eens optimaal dat vooral de eindgebruiker argus-ogen moet hebben bij alles wat hij'zij download/aanklikt.

In dit geval maakt het niet eens uit of je het bestand download. Zodra ze het per e-mail aan je sturen wordt het gescanned en ben je geïnfecteerd. Zelfs als het direct in je spamfolder komt en je de e-mail zelf nooit zou zien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.