Verschillende ernstige kwetsbaarheden in de beveiligingssoftware van Symantec, die systemen juist tegen malware moet beschermen, hadden het voor een computerworm mogelijk gemaakt om computers te infecteren en zich zonder enige interactie van gebruikers verder te verspreiden.
Jaren geleden kwamen computerwormen nog veel voor, maar tegenwoordig zijn dit soort "wormlekken" een stuk zeldzamer geworden. Gisteren liet een onderzoeker van Google weten dat hij verschillende grote problemen in de beveiligingssoftware had gevonden waarvoor later op de dag updates zouden verschijnen. Symantec heeft de betreffende beveiligingsupdates inmiddels uitgebracht en Google heeft nu meer details over de kwetsbaarheden vrijgegeven. Aangezien Symantec dezelfde engine voor al hun producten gebruikt, zijn ook alle producten kwetsbaar, waaronder Norton Security, Norton 360 en Symantec Endpoint Protection.
Het probleem wordt veroorzaakt hoe de beveiligingssoftware met "executable packers" omgaat. Dit zijn tools om de grootte van uitvoerbare bestanden te verkleinen door ze te comprimeren. Dit is een probleem voor virusscanners, omdat het de eigenschappen van het bestand verandert. Om dit probleem aan te pakken maken anti-virusbedrijven gebruik van een unpacker. In de unpacker van Symantec zat een probleem waardoor een aanvaller eenvoudig een buffer overflow kon veroorzaken.
Omdat de software van Symantec continu in de achtergrond draait was het voor een aanvaller voldoende geweest om slachtoffers een kwaadaardige e-mailbijlage of een link naar een exploit te mailen. Het doelwit hoeft deze e-mail niet te openen of te bekijken om toch te worden aangevallen. "Omdat er geen interactie van de gebruiker is vereist om de kwetsbaarheid aan te vallen, is het door een worm te gebruiken en kan het verschrikkelijke gevolgen voor klanten van Norton en Symantec hebben", aldus Google.
Symantec meldt dat alle Norton-producten via Live Update zijn bijgewerkt. Deze software draait periodiek, maar kan ook zelf door gebruikers worden gestart. Zakelijke gebruikers worden naar de security-advisory van Symantec verwezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.