Symantec Anti-Virus Engine fino 20151.1.0.32 aspack File SizeOfRawData Kernel denial of service
CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
---|---|---|
8.6 | $0-$5k | 0.00 |
Un punto di criticita di livello estremamente critico è stato rilevato in Symantec Anti-Virus Engine fino 20151.1.0.32 (Anti-Malware Software). Riguarda una funzione sconosciuta del componente aspack File Handler. Attraverso l'influenza del parametro SizeOfRawData
di un input sconosciuto per mezzo di una vulerabilità di classe denial of service. Questo ha un effetto su riservatezza, integrità e disponibilità.
Data di scoperta del problema 16/05/2016. La vulnerabilità è stata pubblicata in data 06/05/2016 da Tavis Ormandy (taviso) da Google con identificazione Issue 820 / SYM16-008 con un advisory (Blogspot) (confermato). L'advisory è scaricabile da googleprojectzero.blogspot.com. La pubblicazione è stata eseguita con il produttore. Questo punto di criticità è identificato come CVE-2016-2208. La vulnerabilità è relativamente apprezzata, a causa della bassa complessità. L'attacco può essere lanciato dalla rete. Per l'uso non è richiesta un'autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti. Lo sviluppo di questa vulnerabilità risulta storicamente interessante.
Un metodo di utilizzo è stato sviluppato da Tavis Ormandy (taviso) in Assembler ed è stata pubblicata immediatamente dopo il comunicato. L'exploit è scaricabile da bugs.chromium.org. È stato dichiarato come proof-of-concept. Per lo scanned Nessus, è disponibile un plugin, numero ID 91261 (Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato. Il codice utilizzato dal exploit è:
VirtualAddress equ 0x10000-0x08 ; VirtualAddress of section data, offset where copy starts. SizeOfImage equ 0x12000-0x0C ; Size you want to allocate. SectionPadding equ 0x2000 ; SizeOfImage-VirtualAddress ; Section Headers db ".data", 0, 0, 0 ; Name dd 0 ; VirtualSize dd VirtualAddress ; VirtualAddress dd 0xffffffff ; SizeOfRawData dd __data ; PointerToRawData dd 0 ; PointerToRelocations dd 0 ; PointerToLinenumbers dw 0 ; NumberOfRelocations dw 0 ; NumberOfLinenumbers dd 0 ; Characteristics
Applicando la patch 20151.1.1.4 è possibile eliminare il problema. Il problema può essere attenuato rimpiazzando il componente con F-Secure, Kaspersky, McAfee, Panda o Sophos come alternativa. Il miglior modo suggerito per attenuare il problema è applicare le correzioni al componente problematico. Una possibile soluzione è stata pubblicata 2 settimane dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database Tenable (91261) e Exploit-DB (39835).
Componente colpito
- Symantec Cloud/NAS Protection Engine
- Symantec Email Security
- Symantec Endpoint (Mac, Windows, Linux, UNIX)
- Symantec Norton Antivirus (Mac, Windows)
- Symantec Protection for SharePoint/Exchange/Notes
- Symantec Scan Engine
Prodotto
Genere
Fornitore
Nome
Versione
- 20151.1.0.0
- 20151.1.0.1
- 20151.1.0.2
- 20151.1.0.3
- 20151.1.0.4
- 20151.1.0.5
- 20151.1.0.6
- 20151.1.0.7
- 20151.1.0.8
- 20151.1.0.9
- 20151.1.0.10
- 20151.1.0.11
- 20151.1.0.12
- 20151.1.0.13
- 20151.1.0.14
- 20151.1.0.15
- 20151.1.0.16
- 20151.1.0.17
- 20151.1.0.18
- 20151.1.0.19
- 20151.1.0.20
- 20151.1.0.21
- 20151.1.0.22
- 20151.1.0.23
- 20151.1.0.24
- 20151.1.0.25
- 20151.1.0.26
- 20151.1.0.27
- 20151.1.0.28
- 20151.1.0.29
- 20151.1.0.30
- 20151.1.0.31
- 20151.1.0.32
Licenza
CPE 2.3
CPE 2.2
Video
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 9.6VulDB Punteggio Meta Temp: 9.0
VulDB Punteggio di base: 10.0
VulDB Punteggio temporaneo: 9.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 9.1
NVD Vettore: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
---|---|---|---|---|---|
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Nome: KernelClasse: Denial of service / Kernel
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Proof-of-Concept
Autore: Tavis Ormandy (taviso)
Linguaggio Di Programmazione: 🔍
Scaricamento: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
---|---|---|---|---|
Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Nessus ID: 91261
Nessus Nome: Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 800985
OpenVAS Nome: Symantec Antivirus Engine Denial of Service Vulnerability (Windows)
OpenVAS File: 🔍
OpenVAS Family: 🔍
Exploit-DB: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo di reazione: 🔍
0 giorni di tempo: 🔍
Tempo di esposizione: 🔍
Sfrutta il tempo di ritardo: 🔍
Patch: 20151.1.1.4
Alternative: F-Secure/Kaspersky/McAfee/Panda/Sophos
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Versione: 🔍
Sequenza temporale
02/02/2016 🔍06/05/2016 🔍
06/05/2016 🔍
16/05/2016 🔍
16/05/2016 🔍
16/05/2016 🔍
16/05/2016 🔍
16/05/2016 🔍
17/05/2016 🔍
17/05/2016 🔍
18/05/2016 🔍
19/05/2016 🔍
19/05/2016 🔍
20/07/2019 🔍
Fonti
Fornitore: symantec.comAdvisory: Issue 820 / SYM16-008
Riceratore: Tavis Ormandy (taviso)
Organizzazione: Google
Stato: Confermato
Confermato: 🔍
Coordinato: 🔍
CVE: CVE-2016-2208 (🔍)
OVAL: 🔍
SecurityTracker: 1035903
Vulnerability Center: 59440 - Symantec Antivirus Engine Remote Code Execution via Malformed Portable-Executable Header Files, Critical
SecurityFocus: 90653 - Symantec Antivirus Engine CVE-2016-2208 Memory Corruption Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20161013
Varie: 🔍
Voce
Data di creazione: 18/05/2016 11:27Aggiornamenti: 20/07/2019 10:43
I cambiamenti: 18/05/2016 11:27 (113), 20/07/2019 10:43 (6)
Completa: 🔍
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.