Symantec: scan geen rar-bestanden zonder patch
Gepubliceerd: Donderdag 22 december 2005
Auteur: Niels de Rijk
Symantec heeft een lek ontdekt in zijn eigen antivirussoftware dat zonder tussenkomst van de gebruiker kan worden misbruikt.
Onafhankelijk beveiligingsexpert Alex Wheeler ontdekte het lek. Hij publiceerde de details dinsdag op Rem0te.com [pdf].
Het lek bevindt zich in de Antivirus Library, een substantieel onderdeel van Symantecs gateway-, server- en consumentenproducten. Ook de allernieuwste software, zoals Norton Antivirus 2006 en Norton Antivirus voor Microsoft Exchange 4.6.3, is vatbaar.
Hackers kunnen tijdens de scan van een rar-bestand de buffer vol laten lopen met een grote hoeveelheid gegevens. Met een eigen geschreven code kunnen zij vervolgens het systeem van hun slachtoffer binnendringen, legt Wheeler uit.
De aanval, die per e-mail binnenkomt, kan zonder tussenkomst van de gebruiker worden uitgevoerd. Dat betekent dat hackers aan de slag kunnen zodra hun slachtoffer een e-mail heeft ontvangen.
Symantec zegt reeds een signatuur voor potentiële exploits te hebben toegevoegd aan zijn LiveUpdate. Het beveiligingsbedrijf belooft zijn advisory zo snel mogelijk uit te breiden met een patch. Wheeler raadt gebruikers van Symantec-antivirussoftware tot die tijd aan de scan van rar-bestanden uit te zetten.
Wheeler voorziet ook problemen bij gebruikers van andere antivirussoftware. "De bibliotheek van Symantec wordt ook door een groot aantal andere fabrikanten gebruikt."
