La divisione di sicurezza Project Zero di Google è sempre vigile e nell'ultima tornata di vulnerabilità scoperte ha bacchettato Symantec e Norton per una serie di bug capaci di esporre milioni di consumatori e imprese ad attacchi auto replicanti con cui eventuali aggressori possono prendere il controllo remoto dei sistemi infetti. A rivelarlo è stato il ricercatore di sicurezza Tavis Ormandy all'interno di un post sul blog ufficiale di Project Zero.
"Queste vulnerabilità non richiedono interazioni particolari da parte dell'utente", spiega Ormandy. "Colpiscono i software con la configurazione di default, potendo operare così con i più elevati permessi possibili. In alcuni casi, in ambiente Windows, il codice vulnerabile viene anche caricato nel kernel, con conseguente corruzione della memoria del kernel remoto". Il post è pubblicato poco dopo che Symantec ha rilasciato la propria documentazione in cui venivano elencati 17 prodotti proprietari e 8 di Norton fra quelli contenenti le vulnerabilità descritte.
Ormandy ha comunque avvisato che l'exploit della falla è particolarmente semplice da effettuare, consentendo alla vulnerabilità di diffondersi viralmente da macchina a macchina su una rete target, e potenzialmente anche attraverso internet: "Visto che Symantec utilizza un driver filtro per intercettare tutte le chiamate I/O del sistema, anche solo inviare una email ad una vittima, o inviarle un link verso l'exploit è sufficiente per scatenarlo", continua Ormandy.
"La vittima non ha bisogno nemmeno di aprire il file o interagire con esso in alcun modo. Visto che non è necessaria alcuna interazione per sfruttarlo, la vulnerabilità può avere conseguenze potenzialmente devastanti per i clienti Norton e Symantec". Particolarmente suscettibili alla vulnerabilità le reti aziendali, che possono essere colpite anche in maniera pesante se l'exploit riesce a diffondersi attraverso la rete di computer collegata.
I bug risiedono all'interno dell'engine che i prodotti utilizzano per decomprimere gli strumenti che gli sviluppatori di malware usano per nascondere il codice malevolo. Gli engine analizzano il codice contenuto nel file prima che venga scaricato o eseguito ma, visto che quelli usati da Symantec vengono eseguiti direttamente nel kernel del sistema operativo, eventuali errori possono garantire il controllo totale della macchina sulla macchina potenzialmente infetta.
http://www.hwupgrade.it/news/
sicurezza-software/google-scopre-25-vulnerabilita
-sui-tool-di-sicurezza-di-symantec-e-norton_63423.html