Symantec Security выпущен бюллетень по безопасности, в котором констатируется наличие уязвимости в ActiveX-компоненте под названием Symantec RuFSI Utility Class или Symantec RuFSI Registry Information Class. Symantec security Check — онлайновый Вэб-сервис, позволяющий проверить свою машину на наличие вирусов и уязвимостей. При этом вышеназванная ActiveX-компонента устанавливается на машину клиента (%SystemRoot%\Downloaded Program Files\rufsi.dll). Как указывает обнаруживший уязвимость Cesar Cerrudo, работа этого компонента не документирована, однако, можно сделать вывод, что он занимается сбором информации о компьютере для дальнейшего онлайнового анализа. Переполнение буфера присутствует в методе CompareVersionStrings. При передаче в качестве одного из параметров этому методу длинной строки можно вызвать переполнение буфера в стеке, что позволяет выполнить на уязвимой машине произвольный код. Подобное переполнение может быть выполнено при посещении «клиентом» специальным образом оформленного Вэб-сайта. Кроме того, DLL, которая отвечает этому компоненту, помечена как «safe», что
позволяет обойти ограничения зоны безопасности IE. Symantec произведено обновление DLL и при посещении сайта происходит автоматическое обновление на более новую версию. Специалисты по безопасности, тем не менее, выразили
обеспокоенность такому отношению Symantec к безопасности и высказали удивление, почему такой важный компонент ActiveX не использует цифровой сертификат, подписанный доверенным CA-центром, что являлось бы логичным.



Оставить мнение