Tavis Ormandy ha individuato una pericolosa vulnerabilità nell’engine antivirale alla base della gran parte del software di sicurezza commercializzato da Symantec, un problema che coinvolge tutte le piattaforme informatiche con vari livelli di gravità e per cui già sono in arrivo i primi “cerotti” virtuali.
Ormandy, attuale membro del Project Zero di Google e noto cacciatore di bug nei software di sicurezza, ha scovato la nuova falla nel modo in cui l’engine Symantec gestisce i file eseguibili compressi con certe versioni del tool Aspack.
Se l’engine viene in contatto con una sezione di dati troncata, ha spiegato l’hacker white hat, il corrispondente software antivirale genera un errore di buffer overflow; quel che è peggio, ha detto ancora Ormandy, è che Symantec usa un driver-filtro per intercettare tutte le operazioni di I/O del sistema: basta inviare una mail o un link per compromettere il PC della vittima e aprire le porte all’esecuzione di codice malevolo da remoto.
Kernel memory corruption in Symantec/Norton antivirus, CVE-2016-2208 (more patches soon). https://t.co/Sqhm0a48Fp pic.twitter.com/F22xDIelSU
– Tavis Ormandy (@taviso) 17 maggio 2016
Il bug scoperto da Ormandy riguarda i software Symantec per sistemi Windows, Linux e OS X, ma il rischio non è lo stesso: sugli OS del Pinguino il peggio è la conquista dell’accesso root al PC, mentre su Windows l’engine antivirale viene caricato direttamente nel kernel dell’OS e può quindi generare errori da “kernel panic” con tanto di possibile BSOD o peggio.
Alfonso Maruccia
Ti potrebbe interessare
19 mag 2016