pixel_dreams - Fotolia
Google dévoile une grave vulnérabilité dans l’antivirus de Symantec
Découverte par les équipes du projet Zéro, elle peut être exploitée sans interaction de l’utilisateur et s’avère aussi « grave qu’il est possible de l’être ».
Les chercheurs du projet Zéro de Google, spécialisés dans la recherche de vulnérabilité inédites, viennent d’en rendre publiques plusieurs, qui affectent le moteur d’analyse antivirus utilisé dans les produits Symantec et Norton. L’une d’entre elles s’avère particulière sérieuse : elle ne nécessite aucune interaction de l’utilisateur et peut être exploitée par le biais d’un simple courrier électronique.
Tavis Ormandy, l’un des membres de l’équipe du projet, explique ainsi que, « sous Windows [la vulnérabilité permet de provoquer] une corruption de la mémoire du noyau, puisque le moteur d’analyse est chargé dans le noyau (wtf!!!), faisant de ceci une vulnérabilité de corruption à distance de la mémoire du ring0 – c’est aussi grave qu’il est possible de l’être ». Et cela parce que « Symantec utilise un pilote de filtrage pour intercepter toutes les entrées/sorties du système ».
Dès lors, selon lui, la vulnérabilité peut être exploitée par e-mail ou via le navigateur Web. Et de fournir un échantillon de démonstration provoquant un écran bleu sur un système utilisant Norton Antivirus, ou un plantage du service Symantec Enterprise Endpoint : « le fichier testcase.txt est un binaire précompilé […] Cliquer pour le télécharger devrait suffire pour faire planter le noyau sur un système vulnérable ».
Les produits Mac et Linux de Symantec sont également concernés. La vulnérabilité provoque là un dépassement du tas du processeur.
Symantec vient de rendre public un correctif pour la plus grave des vulnérabilités découvertes par les équipes de Google. Mais d’autres correctifs sont attendus pour les autres.