L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Symantec Antivirus

alerte de vulnérabilité informatique CVE-2016-2208

Symantec AVE : corruption de mémoire via PE Header

Synthèse de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via un PE Header dans Symantec AVE, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du système.
Produits concernés : Norton Antivirus, Norton Internet Security, Norton Security, Symantec AV, Symantec Endpoint Protection.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service.
Provenance : document.
Date création : 17/05/2016.
Références : 820, BID-90653, CVE-2016-2208, SYM16-008, VIGILANCE-VUL-19636.

Description de la vulnérabilité

Le moteur Symantec AVE analyse les exécutables au format PE.

Cependant, un entête PE malformé corrompt la mémoire dans un pilote noyau.

Un attaquant peut donc provoquer une corruption de mémoire via un PE Header dans Symantec AVE, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du système.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2012-1421 CVE-2012-1425 CVE-2012-1443

Symantec Antivirus : contournement via ELF, RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par Symantec Antivirus.
Produits concernés : Norton Antivirus, Symantec AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 9.
Date création : 21/03/2012.
Références : BID-52575, BID-52580, BID-52600, BID-52608, BID-52610, BID-52612, BID-52613, BID-52623, BID-52626, CVE-2012-1421, CVE-2012-1425, CVE-2012-1443, CVE-2012-1446, CVE-2012-1456, CVE-2012-1457, CVE-2012-1459, CVE-2012-1461, CVE-2012-1462, VIGILANCE-VUL-11472.

Description de la vulnérabilité

Les outils d'extraction d'archives (TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF) légèrement malformés. Cependant, Symantec Antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "MSCF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52575, CVE-2012-1421]

Une archive TAR contenant "\50\4B\03\04" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52580, CVE-2012-1425]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec une taille trop grande contourne la détection. [grav:1/4; BID-52610, CVE-2012-1457]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Une archive ZIP commençant par 1024 octets aléatoires contourne la détection. [grav:1/4; BID-52613, CVE-2012-1462]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2010-0110 CVE-2010-0111

Symantec AntiVirus : vulnérabilités de Intel Alert

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Intel Alert Management System permettent à un attaquant distant de mener un déni de service ou de faire exécuter du code.
Produits concernés : Symantec AV.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 27/01/2011.
Références : BID-45935, BID-45936, CVE-2010-0110, CVE-2010-0111, FSC20100727-01, FSC20101213-06, SYM11-002, SYM11-003, VIGILANCE-VUL-10309, ZDI-11-028, ZDI-11-029, ZDI-11-030, ZDI-11-031, ZDI-11-032.

Description de la vulnérabilité

Le produit Symantec Antivirus version 10 et inférieure installent le service Intel Alert Management System (AMS2), qui est désactivé par défaut, et qui écoute sur le port 38292/tcp. Il est affecté par plusieurs vulnérabilités.

Un attaquant peut envoyer des messages illicites vers AMS2, afin de provoquer des buffer overflows, conduisant à l'exécution de code. [grav:3/4; BID-45936, CVE-2010-0110, FSC20100727-01, SYM11-002, ZDI-11-028]

Un attaquant peut envoyer des messages illicites vers AMS2, afin de démarrer un programme, d'envoyer des emails, ou de stopper le service. [grav:2/4; BID-45935, CVE-2010-0111, FSC20101213-06, SYM11-003, ZDI-11-029, ZDI-11-030, ZDI-11-031, ZDI-11-032]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2010-3268

Symantec AV : déni de service via Intel Alert Handler

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête illicite au service Intel Alert Handler, afin de le stopper.
Produits concernés : Symantec AV.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 14/12/2010.
Références : BID-45368, CORE-2010-0728, CVE-2010-3268, VIGILANCE-VUL-10197.

Description de la vulnérabilité

Le produit Symantec Antivirus version 10 et inférieure installent le service Intel Alert Handler (hndlrsvc.exe), qui est désactivé par défaut.

Le paramètre CommandLine des requêtes AMS (Intel Alert Management System) est géré par la fonction GetStringAMSHandler() de prgxhndl.dll, qui appelle AMSGetPastParamList() de AMSLIB.dll. Cependant, si la requête est malformée, la fonction AMSGetPastParamList() cherche à lire une adresse mémoire invalide, ce qui stoppe le service.

Un attaquant peut donc envoyer une requête illicite au service Intel Alert Handler, afin de le stopper.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 9791

Symantec Antivirus : exécution de commande via AMS2

Synthèse de la vulnérabilité

Un attaquant peut se connecter sur le service AMS2 installé par des produits Symantec, afin d'exécuter une commande sur la machine.
Produits concernés : Symantec AV.
Gravité : 3/4.
Conséquences : accès/droits administrateur.
Provenance : client intranet.
Date création : 27/07/2010.
Références : BID-41959, foofus-20100726, VIGILANCE-VUL-9791.

Description de la vulnérabilité

Le service Intel Alert Handler (hndlrsvc.exe) fournit un gestionnaire d'alertes. Le service AMS2 (Alert Management System) est installé par Symantec, et utilise le service Intel Alert Handler. Les produits Symantec Antivirus et Symantec System Center emploient le composant Msgsys d'AMS2.

Le composant Msgsys écoute sur les ports 38292/tcp et 38037/udp. Ce composant peut recevoir des commandes msdos à exécuter avec les privilèges SYSTEM. Cependant, aucune authentification n'est nécessaire.

Un attaquant peut donc se connecter sur le service AMS2 installé par des produits Symantec, afin d'exécuter une commande sur la machine.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits concernés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, transit de données.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 13.
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2010-0106 CVE-2010-0107 CVE-2010-0108

Symantec AV, Norton AV : multiples vulnérabilités

Synthèse de la vulnérabilité

Trois vulnérabilités des produits Symantec et Norton permettent à un attaquant de désactiver l'antivirus ou d'exécuter du code.
Produits concernés : Norton Antivirus, Norton Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 18/02/2010.
Références : BID-38127, BID-38129, BID-38222, CERTA-2010-AVI-087, CVE-2010-0106, CVE-2010-0107, CVE-2010-0108, DSECRG-09-039, SYM10-002, SYM10-003, SYM10-004, VIGILANCE-VUL-9462.

Description de la vulnérabilité

Trois vulnérabilités ont été annoncées dans les produits Symantec et Norton.

Un attaquant local peut désactiver le scan à la volée de Symantec AntiVirus. [grav:2/4; BID-38127, CERTA-2010-AVI-087, CVE-2010-0106, SYM10-002]

Un attaquant peut provoquer un buffer overflow dans l'ActiveX SYMLTCOM.DLL de Norton AV/IS, afin de faire exécuter du code lorsque la victime consulte un site web illicite. [grav:2/4; BID-38129, CVE-2010-0107, SYM10-003]

Un attaquant peut provoquer un buffer overflow dans Symantec Client Proxy (CLIproxy.dll). [grav:1/4; BID-38222, CVE-2010-0108, DSECRG-09-039, SYM10-004]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2009-1348

F-Secure, McAfee, Symantec : contournement via PDF

Synthèse de la vulnérabilité

Un attaquant peut créer un document PDF illicite qui n'est pas détecté par les produits F-Secure, McAfee et Symantec.
Produits concernés : F-Secure AV, GroupShield, McAfee Security for Email Servers, VirusScan, Norton Antivirus, Norton Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 28/10/2009.
Références : BID-36848, BID-36876, CERTA-2009-AVI-172, CVE-2009-1348, FSC-2009-3, G-SEC 47-2009, G-SEC 48-2009, G-SEC 49-2009, SB10003, VIGILANCE-VUL-9133.

Description de la vulnérabilité

Un document PDF peut être spécialement construit pour être lu par Adobe Reader, mais pour ne pas être reconnu par un logiciel antivirus. Un attaquant peut créer un tel document, et ainsi contourner les produits de trois éditeurs.

Un document PDF illicite n'est pas détecté par les produits Symantec et Norton. [grav:2/4; G-SEC 47-2009]

Un document PDF illicite n'est pas détecté par les produits F-Secure. [grav:2/4; BID-36876, FSC-2009-3, G-SEC 48-2009]

Un document PDF illicite n'est pas détecté par les produits McAfee. De même, une archive TAR illicite n'est pas détecté par les produits McAfee. [grav:2/4; BID-36848, CERTA-2009-AVI-172, CVE-2009-1348, G-SEC 49-2009, SB10003]

Un attaquant peut donc créer un document PDF illicite qui n'est pas détecté par les produits F-Secure, McAfee et Symantec.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2009-3104

Symantec, Norton AV : déni de service

Synthèse de la vulnérabilité

Un attaquant peut envoyer un email illicite, afin que la victime ne puisse plus consulter ses autres emails.
Produits concernés : Norton Antivirus, Norton Internet Security, Symantec AV.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : document.
Date création : 28/08/2009.
Références : BID-34670, CVE-2009-3104, SYM09-012, VIGILANCE-VUL-8982.

Description de la vulnérabilité

Les produits Norton AntiVirus, Norton Internet Security, Symantec AntiVirus Corporate Edition et Symantec Client Security possèdent la fonctionnalité Internet Email Scanning qui scanne les emails lorsqu'ils sont téléchargés depuis le serveur de messagerie.

Cependant, un email illicite provoque une boucle infinie dans le moteur d'analyse, et interrompt la session avec le serveur de messagerie. La victime ne peut alors plus télécharger ses emails.

Un attaquant peut donc envoyer un email illicite, afin que la victime ne puisse plus consulter ses autres emails.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 8797

Symantec Antivirus : contournement via RAR TAR ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR/TAR/ZIP contenant un virus qui n'est pas détecté par les produits Symantec.
Produits concernés : Norton Antivirus, Norton Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Date création : 15/06/2009.
Références : BID-35354, SYM09-009, VIGILANCE-VUL-8797.

Description de la vulnérabilité

Les produits Symantec détectent les virus contenus dans les archives RAR/TAR/ZIP.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils Unrar/Untar/Unzip, mais que l'antivirus ne peut pas ouvrir.

Un attaquant peut donc créer une archive RAR/TAR/ZIP contenant un virus qui n'est pas détecté par les produits Symantec.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.