Symantec Anti-Virus Engine 까지 20151.1.0.32 aspack File SizeOfRawData Kernel 서비스 거부

CVSS 메타 임시 점수	현재 익스플로잇 가격 (≈)	CTI 관심 점수
9.0	$0-$5k	0.00

요약정보

현재 Symantec Anti-Virus Engine 까지 20151.1.0.32에서 비판적인로 분류된 취약점이 발견되었습니다. 영향을 받은 것은 알 수 없는 함수입니다 구성 요소 aspack File Handler의 일부입니다. 이러한 조작 은(는) SizeOfRawData 인자에 대해 이루어질 경우 서비스 거부 (Kernel)을(를) 유발합니다. 이 취약성은 CVE-2016-2208라는 식별자로 관리됩니다. 이 취약점은 원격으로 악용될 수 있습니다. 더욱이, 이용 가능한 익스플로잇이 있습니다. 이 취약점은 배경과 수용으로 인해 역사적 영향을 가지고 있습니다. 이 이슈를 해결하려면 패치 적용을 권장합니다.

세부정보

현재 Symantec Anti-Virus Engine 까지 20151.1.0.32에서 비판적인로 분류된 취약점이 발견되었습니다. 영향을 받은 것은 알 수 없는 함수입니다 구성 요소 aspack File Handler의 일부입니다. 이러한 조작 은(는) SizeOfRawData 인자에 대해 이루어질 경우 서비스 거부 (Kernel)을(를) 유발합니다. CWE를 활용한 선언은 CWE-399로 연결됩니다. 2016. 05. 16. 에 오류가 보고되었습니다. 이 약점은 발표되었습니다 2016. 05. 06. Tavis Ormandy (taviso)에 의해 Google와 함께 Issue 820 / SYM16-008로 권고로 (Blogspot). 보안 권고가 googleprojectzero.blogspot.com를 통해 다운로드 가능하게 공유되었습니다. 공급업체와의 협력 하에 공개 배포가 이루어졌습니다.

이 취약성은 CVE-2016-2208라는 식별자로 관리됩니다. CVE 할당은 2016. 02. 02.에 이루어졌습니다. 이 취약점은 원격으로 악용될 수 있습니다. 기술적인 세부 사항이 있습니다. 이 취약점의 인기도가 평균 이상입니다. 더욱이, 이용 가능한 익스플로잇이 있습니다. 이 익스플로잇은 공개되었으며 사용할 수 있습니다. 현재 시점에서 익스플로잇의 가격은 대략 USD $0-$5k 정도로 추정됩니다. 이 취약점은 배경과 수용으로 인해 역사적 영향을 가지고 있습니다. 해당 권고문에서는 다음 내용을 강조합니다:

ASPack is commercial packing software that’s been around for a long time, and Symantec has dedicated unpackers for a few older versions. Reviewing Symantec’s unpacker, we noticed a trivial buffer overflow when a section’s SizeOfRawData field is greater than SizeOfImage. When this happens, Symantec will allocate SizeOfImage bytes and then memcpy all available data into the buffer.

개념 증명로 선언되었습니다. 이 익스플로잇은 bugs.chromium.org에서 다운로드용으로 공유되었습니다. 0-day일 때 추정되는 암시장 가격은 약 $25k-$100k였습니다. 익스플로잇에서 사용된 코드는 다음과 같습니다:

VirtualAddress      equ 0x10000-0x08    ; VirtualAddress of section data, offset where copy starts.
SizeOfImage         equ 0x12000-0x0C    ; Size you want to allocate.
SectionPadding      equ 0x2000          ; SizeOfImage-VirtualAddress

    ; Section Headers
    db ".data", 0, 0, 0                 ; Name
    dd 0                                ; VirtualSize
    dd VirtualAddress                   ; VirtualAddress
    dd 0xffffffff                       ; SizeOfRawData
    dd __data                           ; PointerToRawData
    dd 0                                ; PointerToRelocations
    dd 0                                ; PointerToLinenumbers
    dw 0                                ; NumberOfRelocations
    dw 0                                ; NumberOfLinenumbers
    dd 0                                ; Characteristics

권고문은 다음과 같이 언급합니다:

On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process. On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf), making this a remote ring0 memory corruption vulnerability - this is about as bad as it can possibly get.

취약점 스캐너 Nessus는 ID 91261인 플러그인을 제공합니다 (Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)), 이는 대상 환경에서 취약성의 존재를 확인하는 데 도움이 됩니다. Windows 패밀리로 할당되었습니다. 플러그인은 l 유형의 컨텍스트에서 실행되고 있습니다. 상용 취약점 스캐너 Qualys는 이 문제를 370007 플러그인으로 테스트할 수 있습니다 (Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation Vulnerability (SYM16-008)).

20151.1.1.4라는 패치가 적용되었습니다. 가능한 대안은 F-Secure/Kaspersky/McAfee/Panda/Sophos 입니다. 이 이슈를 해결하려면 패치 적용을 권장합니다. 취약점 공개 후 2 주 뒤에 가능한 대응책이 발표되었습니다.

이러한 공격은 TippingPoint 및 필터 24993로 탐지 및 방지할 수 있습니다. 다른 취약점 데이터베이스에도 이 취약점이 기록되어 있습니다: SecurityFocus (BID 90653), SecurityTracker (ID 1035903), Vulnerability Center (SBV-59440) , Tenable (91261).

영향 있음

• Symantec Cloud/NAS Protection Engine
• Symantec Email Security
• Symantec Endpoint (Mac, Windows, Linux, UNIX)
• Symantec Norton Antivirus (Mac, Windows)
• Symantec Protection for SharePoint/Exchange/Notes
• Symantec Scan Engine

제품정보

유형

• Anti-Malware Software

공급 업체

• Symantec

이름

• Anti-Virus Engine

버전

• 20151.1.0.0
• 20151.1.0.1
• 20151.1.0.2
• 20151.1.0.3
• 20151.1.0.4
• 20151.1.0.5
• 20151.1.0.6
• 20151.1.0.7
• 20151.1.0.8
• 20151.1.0.9
• 20151.1.0.10
• 20151.1.0.11
• 20151.1.0.12
• 20151.1.0.13
• 20151.1.0.14
• 20151.1.0.15
• 20151.1.0.16
• 20151.1.0.17
• 20151.1.0.18
• 20151.1.0.19
• 20151.1.0.20
• 20151.1.0.21
• 20151.1.0.22
• 20151.1.0.23
• 20151.1.0.24
• 20151.1.0.25
• 20151.1.0.26
• 20151.1.0.27
• 20151.1.0.28
• 20151.1.0.29
• 20151.1.0.30
• 20151.1.0.31
• 20151.1.0.32

특허

• 광고

웹사이트

• 공급 업체: https://www.symantec.com/

CPE 2.3정보

• 🔍
• 🔍
• 🔍

CPE 2.2정보

• 🔍
• 🔍
• 🔍

동영상

CVSSv4정보

VulDB 벡터: 🔍
VulDB 신뢰성: 🔍

CVSSv3정보

VulDB 메타 베이스 점수: 9.6
VulDB 메타 임시 점수: 9.0

VulDB 기본 점수: 10.0
VulDB 임시 점수: 9.0
VulDB 벡터: 🔍
VulDB 신뢰성: 🔍

NVD 기본 점수: 9.1
NVD 벡터: 🔍

CVSSv2정보

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

벡터	복잡성	인증	기밀성	진실성	유효성
잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다
잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다
잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다

VulDB 기본 점수: 🔍
VulDB 임시 점수: 🔍
VulDB 신뢰성: 🔍

NVD 기본 점수: 🔍

악용정보

이름: Kernel
수업: 서비스 거부 / Kernel
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

물리적인: 아니요
현지: 아니요
원격: 네

유효성: 🔍
접근: 공개
상태: 개념 증명
저자: Tavis Ormandy (taviso)
프로그래밍 언어: 🔍
다운로드: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

가격 예측: 🔍
현재 가격 추정: 🔍

0-Day	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다
오늘	잠금 해제하다	잠금 해제하다	잠금 해제하다	잠금 해제하다

Nessus ID: 91261
Nessus 이름: Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)
Nessus 파일: 🔍
Nessus 위험: 🔍
Nessus 가족: 🔍
Nessus Context: 🔍

OpenVAS ID: 800985
OpenVAS 이름: Symantec Antivirus Engine Denial of Service Vulnerability (Windows)
OpenVAS 파일: 🔍
OpenVAS 가족: 🔍

Qualys ID: 🔍
Qualys 이름: 🔍

Exploit-DB: 🔍

위협 인텔리전스정보

관심: 🔍
활성 배우: 🔍
활성 APT 그룹: 🔍

대책정보

추천: 패치
상태: 🔍

반응 시간: 🔍
0일 시간: 🔍
노출 시간: 🔍
익스플로잇 지연 시간: 🔍

패치: 20151.1.1.4
대안: F-Secure/Kaspersky/McAfee/Panda/Sophos
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS 버전: 🔍

타임라인정보

2016. 02. 02. 🔍
2016. 05. 06. +94 날 🔍
2016. 05. 06. +0 날 🔍
2016. 05. 16. +10 날 🔍
2016. 05. 16. +0 날 🔍
2016. 05. 16. +0 날 🔍
2016. 05. 16. +0 날 🔍
2016. 05. 16. +0 날 🔍
2016. 05. 17. +1 날 🔍
2016. 05. 17. +0 날 🔍
2016. 05. 18. +1 날 🔍
2016. 05. 19. +1 날 🔍
2016. 05. 19. +0 날 🔍
2024. 10. 11. +3067 날 🔍

출처정보

공급 업체: symantec.com

권고: Issue 820 / SYM16-008
연구원: Tavis Ormandy (taviso)
조직: Google
상태: 확인됨
확인: 🔍
조정된: 🔍

CVE: CVE-2016-2208 (🔍)
GCVE (CVE): GCVE-0-2016-2208
GCVE (VulDB): GCVE-100-87424

OVAL: 🔍

SecurityFocus: 90653 - Symantec Antivirus Engine CVE-2016-2208 Memory Corruption Vulnerability
SecurityTracker: 1035903
Vulnerability Center: 59440 - Symantec Antivirus Engine Remote Code Execution via Malformed Portable-Executable Header Files, Critical

scip Labs: https://www.scip.ch/en/?labs.20161013
기타: 🔍

항목정보

만들어진: 2016. 05. 18. AM 11:27
업데이트됨: 2024. 10. 11. AM 02:32
변경 사항: 2016. 05. 18. AM 11:27 (113), 2019. 07. 20. AM 10:43 (6), 2024. 10. 11. AM 02:32 (19)
완벽한: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

논의

Do you need the next level of professionalism?

Upgrade your account now!