Специалист по информационной безопасности Тейвис Орманди, работающий в Google, обнаружил опасную уязвимость в Symantec Antivirus Engine (SAE) — антивирусном ядре, на котором основаны многие продукты Symantec. Из-за неё антивирус, проверяющий заражённый файл, может передать управление вредоносному коду.
Уязвимость получила индекс CVE-2016-2208. Она присутствует в продуктах Symantec для OS X, Linux и Windows, но наибольший ущерб способна нанести под Windows. В число уязвимых приложений, в частности, входят Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine и Symantec Email Security, но Орманди опасается, что на них список не заканчивается.
Проблема вызвана безалаберностью разработчиков антивируса, пропустивших необходимые проверки при открытии файлов. Если обрабатываемый исполняемый файл, проверяемый антивирусом, сжат одной из ранних версий aspack, размер распакованных данных может оказаться больше, чем объём выделенной под них памяти.
В результате происходит классическая ошибка с переполнением буфера, и антивирус падает, позволяя злоумышленнику исполнить произвольный код. В OS X и Linux он получает права администратора. Под Windows этот код будет исполнен в нулевом кольце процессора — привилегированном режиме, используемом ядром операционной системы.
Поскольку антивирус автоматически открывает и сканирует любые файлы, эксплойт не требует участия пользователя. Чтобы заразить чужой компьютер, злоумышленнику достаточно приложить к электронному письму специальный файл, эксплуатирующий уязвимость. Антивирус попытается проверить его и сам запустит вредоносную программу.
Орманди уведомил о проблеме Symantec, после чего компания опубликовала патч. Пользователи антивируса должны скачать и установить его, чтобы устранить уязвимость.
