L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Norman Virus Control

vulnérabilité CVE-2012-1420 CVE-2012-1421 CVE-2012-1422

Norman Virus Control : contournement via ELF, RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par Norman Virus Control.
Produits concernés : Norman Virus Control.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 21/03/2012.
Références : BID-52575, BID-52579, BID-52580, BID-52583, BID-52584, BID-52585, BID-52587, BID-52588, BID-52590, BID-52595, BID-52600, BID-52608, BID-52610, BID-52612, BID-52613, BID-52614, BID-52615, BID-52623, BID-52626, CVE-2012-1420, CVE-2012-1421, CVE-2012-1422, CVE-2012-1423, CVE-2012-1424, CVE-2012-1425, CVE-2012-1426, CVE-2012-1427, CVE-2012-1428, CVE-2012-1440, CVE-2012-1443, CVE-2012-1446, CVE-2012-1456, CVE-2012-1457, CVE-2012-1459, CVE-2012-1461, CVE-2012-1462, CVE-2012-1463, VIGILANCE-VUL-11470.

Description de la vulnérabilité

Les outils d'extraction d'archives (TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF) légèrement malformés. Cependant, Norman Virus Control ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\7fELF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52615, CVE-2012-1420]

Une archive TAR contenant "MSCF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52575, CVE-2012-1421]

Une archive TAR contenant "ITSF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52583, BID-52584, CVE-2012-1422]

Une archive TAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52588, CVE-2012-1423]

Une archive TAR contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:1/4; BID-52590, CVE-2012-1424]

Une archive TAR contenant "\50\4B\03\04" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52580, CVE-2012-1425]

Une archive TAR contenant "\42\5A\68" dans les 3 premiers caractères contourne la détection. [grav:1/4; BID-52585, CVE-2012-1426]

Une archive TAR contenant "\57\69\6E\5A\69\70" à l'offset 29 contourne la détection. [grav:1/4; BID-52587, CVE-2012-1427]

Une archive TAR contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:1/4; BID-52579, CVE-2012-1428]

Un programme ELF contenant un champ "identsize" trop grand contourne la détection. [grav:2/4; BID-52595, CVE-2012-1440]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec une taille trop grande contourne la détection. [grav:1/4; BID-52610, CVE-2012-1457]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Une archive ZIP commençant par 1024 octets aléatoires contourne la détection. [grav:1/4; BID-52613, CVE-2012-1462]

Un programme ELF avec un cinquième octet modifié contourne la détection. [grav:2/4; BID-52614, CVE-2012-1463]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits concernés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, transit de données.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 8795

Norman Antivirus : contournement via RAR

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR contenant un virus qui n'est pas détecté par les produits Norman.
Produits concernés : Norman Virus Control.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/06/2009.
Références : BID-35357, TZO-32-2009, VIGILANCE-VUL-8795.

Description de la vulnérabilité

Les produits Norman détectent les virus contenus dans les archives RAR.

Cependant, un attaquant peut créer une archive légèrement malformée (Size et Method), qui peut toujours être ouverte par les outils Unrar, mais que l'antivirus ne peut pas ouvrir.

Un attaquant peut donc créer une archive RAR contenant un virus qui n'est pas détecté par les produits Norman.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2007-4648

Norman Virus Control : vulnérabilités de NvcOa

Synthèse de la vulnérabilité

Un attaquant local peut employer deux vulnérabilités de NvcOa afin d'obtenir les privilèges du système.
Produits concernés : Norman Virus Control.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 31/08/2007.
Références : BID-25499, CVE-2007-4648, VIGILANCE-VUL-7136.

Description de la vulnérabilité

Un attaquant local peut employer deux vulnérabilités via le device NvcOa installé par le driver Nvcoaft51.sys afin d'obtenir les privilèges du système.

L'ioctl 0xBF67201C alloue 1020 octets pour stocker une chaîne pouvant contenir jusqu'à 2034 octets. Un attaquant local peut donc provoquer un débordement afin de corrompre la mémoire dans le but de faire exécuter du code. [grav:2/4]

Un attaquant peut créer une structure KEVENT illicite et appeler l'ioctl 0xBF672028 afin de corrompre la mémoire dans le but de faire exécuter du code. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2007-3951 CVE-2007-3952 CVE-2007-3953

Norman AV : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de l'antivirus Norman permettent à un attaquant d'exécuter du code ou de mener un déni de service.
Produits concernés : Norman Virus Control.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 24/07/2007.
Références : BID-25003, BID-25014, BID-25015, BID-25020, CVE-2007-3951, CVE-2007-3952, CVE-2007-3953, n.runs-SA-2007.020, n.runs-SA-2007.021, n.runs-SA-2007.022, n.runs-SA-2007.023, VIGILANCE-VUL-7029.

Description de la vulnérabilité

Plusieurs vulnérabilités de l'antivirus Norman permettent à un attaquant d'exécuter du code ou de mener un déni de service.

Un fichier ACE illicite peut provoquer un débordement d'entier dans l'antivirus. [grav:3/4; BID-25015, CVE-2007-3951, n.runs-SA-2007.020]

Un fichier LZH illicite peut provoquer trois débordements d'entier dans l'antivirus. [grav:3/4; BID-25003, CVE-2007-3951, n.runs-SA-2007.021]

Un fichier Word infecté n'est pas détecté en utilisant des données OLE2 spéciales. [grav:3/4; BID-25020, CVE-2007-3952, n.runs-SA-2007.022]

Un fichier Word peut contenir des données OLE2 illicites provoquant une division par zéro. [grav:3/4; BID-25014, CVE-2007-3953, n.runs-SA-2007.023]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 6102

Norman Virus Control : vulnérabilité

Synthèse de la vulnérabilité

Une vulnérabilité affecte Norman Virus Control.
Produits concernés : Norman Virus Control.
Gravité : 2/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/08/2006.
Références : VIGILANCE-VUL-6102.

Description de la vulnérabilité

Une vulnérabilité affecte Norman Virus Control.

Ses détails techniques ainsi que ses conséquences sont inconnus.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 5835

Windows : création de fichiers inaccessibles

Synthèse de la vulnérabilité

Un attaquant local peut créer un fichier sur le système qui ne soit pas détecté ou désinfecté par certains outils de vérification, comme les antivirus.
Produits concernés : Avast AV, F-PROT AV, AVG AntiVirus, Kaspersky AV, Windows 2000, Windows NT, Windows XP, Norman Virus Control.
Gravité : 1/4.
Conséquences : camouflage.
Provenance : shell utilisateur.
Confiance : source unique (2/5).
Date création : 11/05/2006.
Références : BID-17934, VIGILANCE-VUL-5835.

Description de la vulnérabilité

La fonction RtlDosPathNameToNtPathName_U() convertit un nom de fichier MS-DOS Unicode en nom NT. Elle fait appel à :
 - RtlGetFullPathName_Ustr(), si le nom doit être converti
 - RtlpWin32NTNameToNtPathName_U(), si le nom est déjà au format NT

Cependant, ces deux fonctions gèrent différemment les espaces en fin de chemin d'accès :
 - la première les supprime
 - la deuxième les garde
Ainsi, le fichier "\\?\C:\test " (notation NT) n'est pas accessible à l'aide de "C:\test " (notation MS-DOS).

Par exemple, les antivirus qui utilisent la notation MS-DOS ne peuvent pas détecter ou désinfecter les virus situés dans ces fichiers.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2005-3370 CVE-2005-3371 CVE-2005-3372

Antivirus : contournement en utilisant des "magic bytes"

Synthèse de la vulnérabilité

Un attaquant peut construire un fichier commençant par des magic bytes spéciaux afin de contourner l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus, F-PROT AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Panda Software Platinium, Sophos AV, TrendMicro Internet Security.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 25/10/2005.
Dates révisions : 27/10/2005, 02/11/2005.
Références : BID-15189, CVE-2005-3370, CVE-2005-3371, CVE-2005-3372, CVE-2005-3373, CVE-2005-3374, CVE-2005-3375, CVE-2005-3376, CVE-2005-3377, CVE-2005-3378, CVE-2005-3379, CVE-2005-3380, CVE-2005-3381, CVE-2005-3382, VIGILANCE-VUL-5305.

Description de la vulnérabilité

Certains formats de fichier peuvent commencer par des données aléatoires sans que cela ne perturbe leur ouverture ou leur exécution. Par exemple, les données invalides sont ignorées en haut d'une page HTML, d'un script BAT ou d'un email EML.

Un attaquant peut donc prendre le début d'un fichier exécutable et l'insérer devant un contenu HTML, BAT ou EML. Certains antivirus reconnaissent correctement le format, mais d'autres reconnaissent uniquement un programme exécutable.

Un attaquant peut ainsi créer un contenu HTML, BAT ou EML illicite sans que l'antivirus ne le détecte.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2005-3210 CVE-2005-3211 CVE-2005-3212

Antivirus : absence de détection de virus dans RAR, CAB ou ARJ

Synthèse de la vulnérabilité

Un attaquant peut créer des archives RAR, CAB ou ARJ contenant des virus, qui ne sont pas détectés par certains antivirus.
Produits concernés : Avast AV, ClamAV, F-PROT AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Panda Software Platinium, Sophos AV.
Gravité : 2/4.
Conséquences : camouflage.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 10/10/2005.
Références : BID-15046, CVE-2005-3210, CVE-2005-3211, CVE-2005-3212, CVE-2005-3213, CVE-2005-3214, CVE-2005-3215, CVE-2005-3216, CVE-2005-3217, CVE-2005-3218, CVE-2005-3219, CVE-2005-3220, CVE-2005-3221, CVE-2005-3222, CVE-2005-3223, CVE-2005-3224, CVE-2005-3225, CVE-2005-3226, CVE-2005-3227, CVE-2005-3228, CVE-2005-3229, CVE-2005-3230, CVE-2005-3231, CVE-2005-3232, CVE-2005-3233, CVE-2005-3234, CVE-2005-3235, VIGILANCE-VUL-5244.

Description de la vulnérabilité

Les fichiers portant l'extension RAR, CAB ou ARJ sont des archives contenant un ou plusieurs fichiers compressés.

Un attaquant peut créer des archives légèrement malformées. Les outils d'extractions comme UnRAR ou PowerZip reconnaissent tout de même les archives et extraient les fichiers.

Cependant, ces archives malformées ne sont pas reconnues par certains antivirus. Ainsi les virus sont uniquement détectés par l'antivirus résidant sur le poste de l'utilisateur, lorsque l'utilisateur accède au fichier contenant le virus.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 4819

Antivirus : acceptation d'archives ZIP ayant des drapeaux incorrects

Synthèse de la vulnérabilité

Certains anti-virus ne détectent pas les virus dans les archives ZIP dont certains drapeaux sont incorrects.
Produits concernés : F-PROT AV, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Confiance : sources multiples (3/5).
Date création : 15/03/2005.
Références : V6-AVZIPGENPURPBIT, VIGILANCE-VUL-4819.

Description de la vulnérabilité

Les archives ZIP contiennent un ou plusieurs fichiers. Chaque fichier est précédé d'un entête local. Cet entête contient une zone de drapeaux (bits signifiant vrai ou faux).

Lorsque certains des bits de l'entête local sont modifiés, certains antivirus marquent le fichier comme non vérolé.

Un attaquant peut donc créer une archive contenant un virus, et modifier les drapeaux. L'antivirus ne le détectera pas.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.