Kritiske sikkerhetsoppdateringer for flere Symantec/Norton-produkter

Publisert: 29.06.2016 | Sist endret: 11.01.2017

Symantec har lukket alvorlige sikkerhetshull i firmaets antivirusprodukter [1] . Oppdater nå.

En av svakhetene er buffer overflow, som er tilgjengelig på både Linux, Mac og Windows. Den kan aktiveres når antivirus programmet undersøker en pakket fil for skadelig kode. Brukeren trenger ikke å åpne filen, sårbarheten aktiveres så snart antivirus programet prøver å sjekke det.

En beskrivelse av sårbarhetene kan leses på Project Zero sin blogg [2]. Sikkerhetsforsker Tavis Ormandy, som fant sårbarheter, skriver at dette sikkerhetsproblemet kan potensielt utnyttes av en orm. "En angriper kan lett kompromittere alle bedriftens datamaskiner ved å utnytte en slik sårbarhet", skriver han.

Sikkerhetsproblemene finnes i Symantec Decomposer Engine. Det er en del av nesten alle Symantecs antivirusprodukter.

Sårbare produkter

De sårbare produktene er blant annet:

  • Symantec Endpoint Protection (Alle OS)
  • Symantec Email Security (Alle OS)
  • Symantec Protection Engine (Alle OS)
  • Symantec Protection for SharePoint Servers
  • Norton Security, Norton 360, og eldre versjoner (Alle OS)

En full liste over sårbare programmer, samt informasjon om programmene vil oppdateres automatisk, kan man finne i Symantecs varsel[1].

NorCERTs anbefaling

NorCERT anbefaler bedrifter å undersøke om de har Symantec-programmer som ikke oppdateres automatisk, og eventuelt oppdaterere disse programmene.

Detaljer som sårbarhetene

Googles Project Zero har identifisert flere sårbarheter i antivirusmotoren som brukes av flere Symantec-produkter. På grunn av måten Symantec-produkter overvåker en maskin kan sårbarhetene utnyttes ved kun å sende en fil eller link til en sårbar maskin. Det kreves ingen brukerinteraksjon for utnyttelse.

Symantec klassifiserer flere av disse oppdateringene med høy viktighet.

Utnyttelse

NorCERT har ikke funnet informasjon som tilsier at disse sårbarhetene blir aktivt utnyttet.

  1. https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
  2. http://googleprojectzero.blogspot.no/2016/06/how-to-compromise-enterprise-endpoint.html