Symantec und Norton: Millionen Antivirennutzer durch Schwachstelle verwundbar

Sicherheitssoftware verbessert die Sicherheit und Zitronenfalter falten Zitronen. Tavis Ormandy hat in fast allen Produkten von Norton und Symantec Schwachstellen gefunden, die Speicherfehler im Windows-Kernel ohne Nutzerinteraktion ermöglichen.

Artikel veröffentlicht am ,
Fast alle Produkte von Norton haben eine kritsche Sicherheitslücke.
Fast alle Produkte von Norton haben eine kritsche Sicherheitslücke. (Bild: Justin Sullivan/Getty Images)

Eine gefährliche Sicherheitslücke in fast allen Sicherheitsprodukten von Norton und Symantec ermöglicht Angreifern, die PCs der Nutzer zu übernehmen. Schuld ist ein schwerwiegender Designfehler: Malwaresamples werden nicht in einer Sandbox entpackt, sondern direkt im System.

Stellenmarkt
  1. Produktplaner / Requirements Engineer (m/w/d) im Finanzwesen
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
  2. Mitarbeiter Qualitätssicherung Softwareentwicklung Sozialwesen (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), verschiedene Standorte
Detailsuche

Um die Sicherheitslücke auszunutzen, ist keinerlei Interaktion der Nutzer notwendig, weil die Dateien nach dem Herunterladen oder wenn sie per E-Mail gesendet werden automatisch analysiert werden. Die Dateien werden von den Antivirenprodukten erst entpackt, um von Malware-Autoren verwendete Kompressionstechniken auszuhebeln.

Dieser Prozess findet jedoch nicht wie üblich in einer Sandbox oder einer speziellen virtuellen Maschine statt. Stattdessen wird der Prozess direkt im Arbeitsspeicher ausgeführt. Die Analysewerkzeuge parsen den in den Dateien enthaltenen Code. Wenn diese Dateien speziell präpariert werden, kann der Angreifer aus dem eigentlich zugewiesenen Speicherbereich ausbrechen (Buffer Overflow), weiteren Code ausführen und das System übernehmen.

"Viel schlimmer können die Schwachstellen kaum sein"

"Viel schlimmer können die Schwachstellen kaum sein", sagte der Entdecker Tavis Ormandy, der für Googles Project Zero arbeitet. "Es ist keinerlei Interaktion der Nutzer erforderlich und die Standardkonfigurationen sind betroffen, außerdem läuft die Software mit den höchstmöglichen Rechten." In einigen Fällen werde der verwundbare Code sogar direkt im Windows-Kernel ausgeführt und ermögliche so eine Manipulation der Kernel-Speicherbereiche aus der Ferne.

Golem Karrierewelt
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    16./17.03.2023, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    08.12.2022, Virtuell
Weitere IT-Trainings

Hinzu kommt, dass eine verwendete Bibliothek zur Analyse von Code, die "decomposer library", lange veraltete Open-Source-Komponenten enthält. Einige der Komponenten sollen mehr als sieben Jahre lang nicht auf den neuesten Stand gebracht worden sein, obwohl der Code bekannte Sicherheitslücken enthält.

Betroffen sind nach Angaben von Ormandy fast alle aktuellen Consumer- und Enterprise-Varianten der Software. Das betrifft unter anderem Norton Security, Norton, 360 und Legacy-Produkte, die Symantec Endpoint Protection, Symantec Email-Security, Symantec Protection Engine und Symantec Protection für Share-Point-Server.

Symantec hat ein Security-Advisory herausgegeben, die entsprechenden Updates können über Live-Update eingespielt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Sharra 30. Jun 2016

Sich dazu durchzuringen das OEM-Windows direkt runterzuwerfen, und eine nicht verseuchte...

Sharra 30. Jun 2016

Beides? Norton gehört zu Symantec seit 1990.

Baron Münchhausen. 29. Jun 2016

Alter er/sie schreibt "bei so viel marketing" und nicht einfach "bei". Meine Fresse...

SoniX 29. Jun 2016

So ein Verhalten hatte ich schon vor zig Jahren beobachtet. War irgendwas um 2002 rum. Da...



Aktuell auf der Startseite von Golem.de
Ende von Google Stadia
Google enttäuscht einige Nutzer von Stadia erneut

Google versprach eine Rückerstattung aller Käufe in dem eingestellten Cloudgaming-Dienst. Manche Kunden bekommen jedoch teils nur Play-Guthaben zurück.
Ein Bericht von Daniel Ziegener

Ende von Google Stadia: Google enttäuscht einige Nutzer von Stadia erneut
Artikel
  1. Wasp-39b: James-Webb-Teleskop analysiert Atmosphäre eines Exoplaneten
    Wasp-39b
    James-Webb-Teleskop analysiert Atmosphäre eines Exoplaneten

    Erstmals ist es einem Forscherteam gelungen, die Atmosphäre eines Exoplaneten zu entschlüsseln. Die Daten lieferte das James-Webb-Weltraumteleskop.

  2. 84 Prozent der deutschen Firmen von Cyberattacken betroffen
     
    84 Prozent der deutschen Firmen von Cyberattacken betroffen

    Cyberattacken verursachen jährliche Schäden von über 200 Milliarden Euro und betreffen 84 Prozent der deutschen Firmen. Sicherheit verspricht die Aktualisierung der IT-Infrastruktur.
    Sponsored Post von Microsoft

  3. Elektro-Lkw: Tesla Semi fährt 800 km mit einer Akkuladung
    Elektro-Lkw
    Tesla Semi fährt 800 km mit einer Akkuladung

    Der Elektrosattelschlepper Tesla Semi hat seine erste Fahrt über 800 km mit einer einzigen Akkuladung absolviert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /