Ναι η γνωστή Symantec: Ο Tavis Ormandy, είναι μέλος της ομάδας του Project Zero της Google. Ο ερευνητής το τελευταίο διάστημα έχει ανακαλύψει ευπάθειες στο λογισμικό κορυφαίων εταιρειών ασφαλείας και όπως φαίνεται ήρθε η ώρα της Symantec.
Έτσι σύμφωνα με τον ερευνητή, οι ευπάθειες που ανακάλυψε επηρεάζουν ένα μεγάλο αριθμό προϊόντων της Symantec, και δεν μπορούν να επιδιορθωθούν μέσω αυτόματων ενημερώσεων.
Ο Ormandy αναφέρει στο blog της Google: “(οι ευπάθειες) Δεν απαιτούν καμία αλληλεπίδραση του χρήστη, και μπορούν να επηρεάσουν την προεπιλεγμένη ρύθμιση παραμέτρων ακόμα και το λογισμικό που τρέχει με τα υψηλότερα επίπεδα προνομίων. Σε ορισμένες περιπτώσεις στα Windows, ο ευάλωτος κώδικας μπορεί να φορτωθεί και στον πυρήνα, με αποτέλεσμα την καταστροφή της μνήμης του πυρήνα.”
Ο ευάλωτος κώδικας στον οποίο αναφέρεται ο Ormandy είναι μέρος του ASPack, του λογισμικού εμπορικής συσκευασίας που χρησιμοποιεί Symantec για να πακετάρει το λογισμικό που αναλύει τα αρχεία και τα σαρώνει για κακόβουλο λογισμικό.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Ο Ormandy αναφέρει ότι το λάθος της Symantec είναι ότι το στοιχείο αυτό τρέχει στον πυρήνα του λειτουργικού συστήματος, με τα υψηλότερα διαθέσιμα προνόμια. Έτσι η ευπάθεια δίνει στον εισβολέα ένα χρυσό εισιτήριο για τον πλήρη έλεγχο του συστήματος.
Εκτός από αυτό το κύριο ζήτημα που έχει καταχωρηθεί σαν CVE-2016-2208, ο ερευνητής υποστηρίζει επίσης, ότι βρήκε πολλαπλά buffer overflows και θέματα διαφθοράς μνήμης.
Ο ερευνητής ανακάλυψε επίσης ότι η Symantec είχε χρησιμοποιεί βιβλιοθήκες ανοικτού κώδικα στα προϊόντα της, όπως τα libmspack και unrarsrc, αλλά ξέχασε να τα ενημερώσει τα τελευταία επτά χρόνια. Ένας εισβολέας θα πρέπει μόνο να βρει το κατάλληλο εργαλείο που υπάρχει διαθέσιμο ελεύθερα στο Internet, για να παραβιάσει κάθε σύστημα που τρέχει προϊόντα της Symantec.
Ορισμένα από αυτά τα θέματα είναι ασήμαντα, σύμφωνα με Ormandy, ο οποίος αναφέρει ότι κάποια άλλα δεν απαιτούν αλληλεπίδραση του χρήστη, και ότι μερικά από αυτά είναι wormable. Όλα όμως είναι σε θέση να εξαπλωθούν και σε άλλες κοντινές συσκευές με την μολυσμένη.
Ο κατάλογος των επηρεαζόμενων προϊόντων συμπεριλαμβάνει: όλα τα Norton products, Endpoint Protection, Email Security, Protection Engine, Protection for SharePoint Servers και πολλά άλλα.
Σε όλες τις περιπτώσεις, τα τρωτά σημεία είναι cross-platform. Η εταιρεία ωστόσο φέρεται να έχει κυκλοφορήσει patches για όλα τα επηρεαζόμενα προϊόντα.
Τον Μάιο, ο Ormandy βοήθησε τη Symantec να κλείσει άλλο ένα κενό ασφαλείας σε προϊόν της. Εκτός από τη Symantec, ο ίδιος ερευνητής διαπίστωσε σφάλματα στο λογισμικό και άλλων μεγάλων εταιρειών ασφάλειας, όπως FireEye, ESET, Kaspersky, Bromium, Trend Micro, Comodo, Malwarebytes, Avast, και AVG.
