VDB-87424 · CVE-2016-2208 · EDB 39835

Symantec Anti-Virus Engine 迄 20151.1.0.32 aspack File SizeOfRawData Kernel サービス拒否

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
9.0	$0-$5k	0.00

要約情報

脆弱性が Symantec Anti-Virus Engine 迄 20151.1.0.32 内に見つかりました。この脆弱性は重大として分類されました。対象となるのは不明な関数コンポーネントaspack File Handlerのです。操作引数SizeOfRawDataの結果としてサービス拒否（Kernel）につながります。この脆弱性は CVE-2016-2208 として知られています。攻撃はリモートで開始される場合があります。エクスプロイトは存在しません。この脆弱性の特殊な手法が、今後革新的な影響を及ぼすでしょう。この問題を修正するために、パッチの適用を推奨します。

詳細情報

脆弱性が Symantec Anti-Virus Engine 迄 20151.1.0.32 内に見つかりました。この脆弱性は重大として分類されました。対象となるのは不明な関数コンポーネントaspack File Handlerのです。操作引数SizeOfRawDataの結果としてサービス拒否（Kernel）につながります。この脆弱性に対応するCWEの定義は CWE-399 です。バグは2016年05月16日に発見されました。この脆弱性は公開されました 2016年05月06日によりTavis Ormandy (taviso) （Googleと共に）としてIssue 820 / SYM16-008 として勧告（Blogspot）。アドバイザリーは googleprojectzero.blogspot.com から入手可能です。一般公開はベンダーとの協力で行われています。

この脆弱性は CVE-2016-2208 として知られています。 CVEの割り当ては 2016年02月02日に行われました。攻撃はリモートで開始される場合があります。技術的詳細情報が入手可能です。この脆弱性の人気度は平均以上です。エクスプロイトは存在しません。エクスプロイトが公開されており、使用される可能性があります。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。この脆弱性の特殊な手法が、今後革新的な影響を及ぼすでしょう。勧告では次の点が指摘されています：

ASPack is commercial packing software that’s been around for a long time, and Symantec has dedicated unpackers for a few older versions. Reviewing Symantec’s unpacker, we noticed a trivial buffer overflow when a section’s SizeOfRawData field is greater than SizeOfImage. When this happens, Symantec will allocate SizeOfImage bytes and then memcpy all available data into the buffer.

概念実証であると宣言されています。エクスプロイトツールは bugs.chromium.org から入手可能です。 0dayとして、推定される闇市場取引価格はおよそ $25k-$100k でした。エクスプロイトツールには下記のコードが含まれています。

VirtualAddress equ 0x10000-0x08 ; VirtualAddress of section data, offset where copy starts. SizeOfImage equ 0x12000-0x0C ; Size you want to allocate. SectionPadding equ 0x2000 ; SizeOfImage-VirtualAddress

; Section Headers db ".data", 0, 0, 0 ; Name dd 0 ; VirtualSize dd VirtualAddress ; VirtualAddress dd 0xffffffff ; SizeOfRawData dd __data ; PointerToRawData dd 0 ; PointerToRelocations dd 0 ; PointerToLinenumbers dw 0 ; NumberOfRelocations dw 0 ; NumberOfLinenumbers dd 0 ; Characteristics

アドバイザリーは次を指摘しています。

On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process. On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf), making this a remote ring0 memory corruption vulnerability - this is about as bad as it can possibly get.

脆弱性スキャナーNessusはID【91261 (Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008))】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。これは分類【Windows 】に割り振られています。このプラグインはlの種類のコンテキストで稼働しています。商用脆弱性スキャナーQualysではプラグイン【 370007 (Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation Vulnerability (SYM16-008)) 】を使用してこの問題をテストできます。

このパッチの名称は20151.1.1.4です。可能な代替案はF-Secure/Kaspersky/McAfee/Panda/Sophosです。この問題を修正するために、パッチの適用を推奨します。考えられる回避策が、2 週として脆弱性の公開後公表されました。

さらに、この種の攻撃は「TippingPoint」の【24993】フィルターを使用して検出及び防御できます。この脆弱性は他の脆弱性データベースにも文書化されています: SecurityFocus (BID 90653), SecurityTracker (ID 1035903), Vulnerability Center (SBV-59440) , Tenable (91261).

影響あり

Symantec Cloud/NAS Protection Engine
Symantec Email Security
Symantec Endpoint (Mac, Windows, Linux, UNIX)
Symantec Norton Antivirus (Mac, Windows)
Symantec Protection for SharePoint/Exchange/Notes
Symantec Scan Engine

製品情報

タイプ

Anti-Malware Software

ベンダー

Symantec

名前

Anti-Virus Engine

バージョン

ライセンス

営利

ウェブサイト

ベンダー: https://www.symantec.com/

CPE 2.3情報

CPE 2.2情報

ビデオ

動画を開く | 動画をさらに表示

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 9.6
VulDB 一時的なメタスコア: 9.0

VulDB ベーススコア: 10.0
VulDB 一時的なスコア: 9.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 9.1
NVD ベクトル: 🔍

CVSSv2情報

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

ベクトル	複雑さ	認証	機密性	完全性	可用性
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

名前: Kernel
クラス: サービス拒否 / Kernel
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Tavis Ormandy (taviso)
プログラミング言語: 🔍
ダウンロード: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day	解除	解除	解除	解除
本日	解除	解除	解除	解除

Nessus ID: 91261
Nessus 名前: Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍

OpenVAS ID: 800985
OpenVAS 名前: Symantec Antivirus Engine Denial of Service Vulnerability (Windows)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍

Qualys ID: 🔍
Qualys 名前: 🔍

Exploit-DB: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: パッチ
ステータス: 🔍

リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
エクスプロイト遅延時間: 🔍

パッチ: 20151.1.1.4
代替案: F-Secure/Kaspersky/McAfee/Panda/Sophos
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS バージョン: 🔍

タイムライン情報

2016年02月02日 🔍
2016年05月06日 +94 日 🔍
2016年05月06日 +0 日 🔍
2016年05月16日 +10 日 🔍
2016年05月16日 +0 日 🔍
2016年05月16日 +0 日 🔍
2016年05月16日 +0 日 🔍
2016年05月16日 +0 日 🔍
2016年05月17日 +1 日 🔍
2016年05月17日 +0 日 🔍
2016年05月18日 +1 日 🔍
2016年05月19日 +1 日 🔍
2016年05月19日 +0 日 🔍
2024年10月11日 +3067 日 🔍

ソース情報

ベンダー: symantec.com

勧告: Issue 820 / SYM16-008
調査者: Tavis Ormandy (taviso)
組織: Google
ステータス: 確認済み
確認: 🔍
調整済み: 🔍

CVE: CVE-2016-2208 (🔍)
GCVE (CVE): GCVE-0-2016-2208
GCVE (VulDB): GCVE-100-87424

OVAL: 🔍

SecurityFocus: 90653 - Symantec Antivirus Engine CVE-2016-2208 Memory Corruption Vulnerability
SecurityTracker: 1035903
Vulnerability Center: 59440 - Symantec Antivirus Engine Remote Code Execution via Malformed Portable-Executable Header Files, Critical

scip Labs: https://www.scip.ch/en/?labs.20161013
その他: 🔍

エントリ情報

作成済み: 2016年05月18日 11:27
更新済み: 2024年10月11日 02:32
変更: 2016年05月18日 11:27 (113), 2019年07月20日 10:43 (6), 2024年10月11日 02:32 (19)
完了: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

討論

コメントはまだありません。言語: ja + en.

コメントするにはログインしてください。

◂ 前概要次 ▸

Might our Artificial Intelligence support you?

Check our Alexa App!