Kritische Sicherheitslücke in Symantec Anti-Virus Engine - Patch verfügbar

18. Mai 2016

Beschreibung

Symantec hat bekanntgegeben, dass es aktuell eine kritische Sicherheitslücke in der Symantec Anti-Virus Engine gibt. Die Lücke befindet sich im Parser fuer die Header von portable executable (PE) Dateien, welche klassischerweise in der Form von .exe-Dateien zu finden sind.

Auswirkungen

Durch Ausnützen dieser Lücke kann ein Angreifer laut Symantec die Kontrolle über betroffene Systeme übernehmen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Besonders kritisch ist hierbei, dass der Code, in welchem sich diese Lücke befindet, in den meisten Fällen im Kernel-Mode ausgeführt wird, was bedeutet, dass dieser uneingeschränkte Rechte hat.

Aufgrund der Natur dieser Schwachstelle ist es unter Umständen nicht einmal notwendig, potentiellen Schadcode aktiv auszuführen, es reicht schon die betroffene Datei abzuspeichern.

Betroffene Systeme

Systeme, auf denen Software von Symantec / Norton installiert ist, welche die Anti-Virus Engine nutzen.

Symantec selbst stellt keine Liste der betroffenen Produkte bereit, laut dem Bericht des Sicherheitsforschers Tavis Ormandy - welcher die Lücke entdeckt hat - sind die folgenden Produkte betroffen:
  • Symantec Endpoint Antivirus (alle Plattformen)
  • Norton Antivirus (alle Plattformen)
  • Symantec Scan Engine (alle Plattformen)
  • Symantec Email Security (alle Plattformen)
  • "..and probably all other Symantec Antivirus products."

Abhilfe

Symantec hat ein Update der Anti-Virus Engine auf Version 20151.1.1.4 bereitgestellt, in welcher die Schwachstelle behoben ist.

Laut Symantec verfügen alle Enterprise-Produkte (zu denen auch Norton Antivirus für Privatnutzer gezählt wird) ueber eine "LiveUpdate"-Funktion, die das Update bereits automatisiert eingespielt haben sollte. Laut dem offiziellen Advisory ist es auch möglich, diesen Updatevorgang manuell anzustoßen, die jeweiligen Schritte entnehmen Sie bitte Ihrer Produktdokumentation.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Symantec Security Advisory (englisch)
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160516_00
Google Project Zero (englisch)
https://bugs.chromium.org/p/project-zero/issues/detail?id=820