พบช่องโหว่ Buffer Overflow บน Symantec Antivirus เสี่ยงเกิด Memory Corruption

Tavis Ormandy นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Buffer Overflow บน Symantec Antivirus Engine ซึ่งเป็นองค์ประกอบหลักของผลิตภัณฑ์ Symantec และ Norton Anvirus เสี่ยงอาจนำไปสู่การเกิด Memory Corruption ได้

ช่องโหว่ที่ Ormandy ค้นพบได้รับรหัส CVE-2016-2208 มีชื่อเต็มคือ Symantec/Norton Antivirus ASPack Remote Heap/Pool Memory Corruption Vulnerability ซึ่งเกิดจากปัญหาความผิดพลาดในการจัดการกับไฟล์ Executables ที่ถูกบีบอัดโดยใช้ ASPack Compression Tool เวอร์ชันเก่า กล่าวคือ เมื่อ Symantec Antivirus Engine ทำการเล็ม (Truncate) ข้อมูลบางส่วนออก แล้วทำให้ “SizeOfRawData” มีขนาดใหญ่กว่า “SizeOfImage” จะทำให้เกิด Buffer Overflow ขึ้น ที่แย่กว่านั้นคือ แฮ็คเกอร์สามารถโจมตีผ่านช่องโหว่นี้ได้ด้วยการส่ง Malicious Code ผ่านทางอีเมลหรือให้ดาวน์โหลดผ่านหน้าเว็บได้อย่างง่ายดาย

symantec_buffer_overflow_1

ที่น่าสนใจคือ ช่องโหว่นี้เป็นช่องโหว่แบบ Cross-platform ที่ส่งผลกระทบทั้ง Windows, Mac และ Linux โดยบน Mac และ Linux ช่องโหว่ดังกล่าวจะช่วยให้แฮ็คเกอร์สามารถได้ Root Access ผ่านการทำ Remote Heap Overflow บน Process ของ Symantec ในขณะที่ Windows ก็ไม่ได้ดีไปกว่ากัน คือ ช่องโหว่จะนำไปสู่ Memory Corruption บน Kernel เนื่องจาก Malicious Code จะถูกโหลดเข้าไปรันใน Kernel ทำให้เกิด Remote Ring0 Memory Corruption ทันที

 

ปัญหาที่สำคัญคือ Symantec ยังไม่ได้ออกแพทช์มาอุดช่องโหว่ Buffer Overflow นี้แต่อย่างใด ต้องรออัพเดทกันต่อไป

อ่านรายละเอียดเชิงลึกได้ที่: https://bugs.chromium.org/p/project-zero/issues/detail?id=820

[Update] Symantec ออก Security Advisory และแพทช์สำหรับอุดช่องโหว่ดังกล่าวเรียบร้อย สามารถดูรายละเอียดได้ที่ https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160516_00

ที่มา: http://www.theregister.co.uk/2016/05/17/tavis_ormandy_zeroes_in_on_antivirus_remotecrash_bug/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วม Webinar ฟรี รู้จักกับ Software-Defined Camera นิยามใหม่ของกล้องวงจรปิดอัจฉริยะ โดย หัวเว่ย

หัวเว่ยขอเรียนเชิญเหล่า IT Manager, Network Engineer, IT Admin และผู้ที่เกี่ยวข้องกับการดูแลระบบ IT ภายในองค์กรทุกท่าน เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "Software-Defined Camera นิยามใหม่ของกล้องวงจรปิดอัจฉริยะ โดย หัวเว่ย" เพื่อรู้จักกับเทคโนโลยีกล้องวงจรปิดสมัยใหม่ที่เปลี่ยนรูปแบบไปเป็น Software-Defined Camera และการประยุกต์ใช้งานจริงภายในธุรกิจองค์กร ในวันพฤหัสบดีที่ 11 กรกฎาคม 2019 เวลา 14.00 – 15.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Cisco Webinar: Cisco Ransomware Defense Webinar โดย Cisco

Cisco ขอเรียนเชิญเหล่าผู้บริหาร, CSO, Security Engineer, ผู้จัดการฝ่าย IT และผู้ดูแลระบบ IT เข้าร่วมงาน Webinar หรือสัมมนาออนไลน์ฟรีในหัวข้อ "Cisco Ransomware Defense Webinar โดย Cisco" เพื่อเรียนรู้ถึงโซลูชันด้าน Security ล่าสุดของ Cisco และการประยุกต์นำมาใช้รับมือกับ Ransomware โดยเฉพาะ ในวันอังคารที่ 9 กรกฎาคม 2019 เวลา 14.00 - 15.30 โดยมีรายละเอียดและวิธีการลงทะเบียนดังนี้