Un investigador de seguridad de Google descubrió vulnerabilidades de alta gravedad en productos empresariales y de consumo del proveedor de antivirus Symantec que los piratas informáticos podrían aprovechar fácilmente para tomar el control de las computadoras..
Symantec lanzó parches para los productos afectados, pero si bien algunos productos se actualizaron automáticamente, algunos productos empresariales afectados podrían requerir intervención manual.
Tavis Ormandy, un investigador del equipo del Proyecto Cero de Google, descubrió las fallas y encontró vulnerabilidades similares en los productos antivirus de otros proveedores. Destacan el mal estado de la seguridad del software en el mundo antivirus, algo que han señalado los investigadores..
La mayoría de los nuevos defectos encontrados por Ormandy se encuentran en el componente Descomponedor del motor antivirus Symantec. Este componente maneja el análisis de varios formatos de archivo, incluidos archivos de almacenamiento como RAR y ZIP. Además, el descomponedor se ejecuta bajo el usuario del sistema, la cuenta más privilegiada en los sistemas Windows.
Symantec no respondió de inmediato a una solicitud de comentarios sobre las vulnerabilidades.
Los investigadores de seguridad han criticado a los proveedores de antivirus muchas veces por realizar operaciones riesgosas como el análisis de archivos con privilegios innecesariamente elevados. Históricamente, tales operaciones han sido fuente de muchas vulnerabilidades de ejecución de código arbitrario en todo tipo de aplicaciones..
Ormandy encontró vulnerabilidades en el código de Symantec utilizado para manejar archivos ZIP, RAR, LZH, LHA, CAB, MIME, TNEF y PPT. La mayoría de estas fallas pueden conducir a la ejecución remota de código y son aptas para el uso, lo que significa que pueden usarse para crear gusanos informáticos.
"Debido a que Symantec usa un controlador de filtro para interceptar todas las E / S del sistema [operaciones de entrada / salida], simplemente enviar un archivo por correo electrónico a una víctima o enviarle un enlace a un exploit es suficiente para activarlo; la víctima no necesita abrir el archivo o interactuar con él de todos modos ", dijo Ormandy en una publicación de blog.
Aún más sorprendente es el hecho de que Symantec parece haber utilizado código de bibliotecas de código abierto, pero no pudo importar los parches lanzados por esos proyectos a lo largo de los años..
Por ejemplo, Ormandy determinó que los productos de Symantec usaban la versión 4.1.4 de un paquete de código abierto que se lanzó en enero de 2012. La versión más reciente de ese código es 5.3.11. También se observó una situación similar para otra biblioteca llamada libmspack.
"Docenas de vulnerabilidades públicas en estas bibliotecas afectaron a Symantec, algunas con vulnerabilidades públicas", dijo Ormandy. "Enviamos a Symantec algunos ejemplos y verificaron que se habían retrasado en los lanzamientos".
El hecho de no realizar un seguimiento de las vulnerabilidades parcheadas en el código de terceros utilizado por los vendedores y desarrolladores de software en sus propios proyectos es un problema generalizado. Sin embargo, existe una expectativa natural de que los proveedores de seguridad no cometan ese error. Después de todo, a menudo predican desarrollo seguro de software y gestión de vulnerabilidades a otros..
Desafortunadamente, "al observar cómo incluso un gigante de un proveedor de productos de seguridad como Symantec está agrupando código antiguo en sus productos, claramente no ha sometido este código a revisiones y pruebas de seguridad, y para colmo ejecuta este viejo código inseguro con SISTEMA / privilegios de root, está claro que los proveedores de seguridad no se rigen por estándares muy altos ", dijo por correo electrónico Carsten Eiram, director de investigación de la firma de inteligencia de vulnerabilidad Risk Based Security..
Según los datos de RBS, este año se han reportado 222 vulnerabilidades en productos de seguridad, lo que representa el 3.4 por ciento de todas las vulnerabilidades observadas en 2016 hasta el momento.
"Puede que no parezca mucho, pero en realidad es bastante significativo", dijo Eiram.
Symantec ha publicado un aviso de seguridad que enumera los productos afectados y contiene instrucciones sobre cómo actualizarlos. Todos los productos Norton, la línea de consumo, deberían haberse actualizado automáticamente.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
