Un file RAR creato ad hoc da un cracker potrebbe causare il crash di molti antivirus di Symantec, incluso il diffusisissimo Norton, e aprire una breccia di sicurezza nel sistema. Ancora nessuna patch
Un componente alla base di molti prodotti antivirus di Symantec contiene alcune pericolose vulnerabilitÃ* di sicurezza che, secondo gli esperti, potrebbero dar modo ad un cracker di compromettere un sistema da remoto.
Le falle, tutte di tipo heap overflow, si trovano all'interno della libreria Dec2Rar.dll utilizzata dagli antivirus di Symantec per decodificare i file compressi con il celebre programma di compressione RAR. Lo scopritore dei bug, Alex Wheeler di Rem0te.com, ha spiegato che un aggressore potrebbe sfruttare le debolezze creando uno speciale file RAR che, una volta aperto dall'antivirus, causa un buffer overflow ed esegue del codice.
"Queste vulnerabilitÃ* possono essere sfruttate da remoto, senza alcuna interazione dell'utente, e attraverso protocolli comuni come SMTP", ha scritto Wheeler in questo advisory.
Secondo il ricercatore, i prodotti di Symantec interessati dal problema sono oltre una decina, e comprendono varie versioni ed edizioni di Symantec Norton Antivirus, Symantec Norton Internet Security, Symantec Norton System Works, Symantec Web Security, Symantec AntiVirus, Symantec BrightMail AntiSpam, Symantec Client Security e Symantec Gateway Security. L'elenco completo viene riportato qui da FrSIRT.
Nel momento in cui si scrive Symantec non ha ancora rilasciato alcuna patch. In attesa che ne venga pubblicata una, Wheeler suggerisce agli utenti di antivirus Symantec di disattivare la scansione dei file RAR.
[Solo gli utenti registrati possono visualizzare tutti i links]
23-12-2005, 01.30.04
Modalità lineare
