L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Symantec Norton Antivirus

alerte de vulnérabilité CVE-2017-5565 CVE-2017-5566 CVE-2017-5567

Antivirus : élévation de privilèges via Microsoft Application Verifier

Synthèse de la vulnérabilité

Produits concernés : Avast AV, NOD32 Antivirus, F-Secure AV, AVG AntiVirus, McAfee MOVE AntiVirus, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, TrendMicro Internet Security, OfficeScan.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/03/2017.
Références : 1116957, CVE-2017-5565, CVE-2017-5566, CVE-2017-5567, CVE-2017-6186, CVE-2017-6417, VIGILANCE-VUL-22211.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2016-6592

Norton : exécution de code via le "Download Manager"

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Download Manager de Norton, afin d'exécuter du code.
Produits concernés : Norton Antivirus, Norton Internet Security, Norton Security, Symantec Endpoint Protection.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/01/2017.
Références : CVE-2016-6592, SYM17-001, VIGILANCE-VUL-21619.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Download Manager de Norton, afin d'exécuter du code. Il s'agit d'une variante de VIGILANCE-VUL-18671.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-5311

Norton, Symantec Endpoint Protection : élévation de privilèges via DLL Pre-loading

Synthèse de la vulnérabilité

Produits concernés : Norton Antivirus, Norton Internet Security, Norton Security, Symantec Endpoint Protection.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/11/2016.
Références : CVE-2016-5311, SYM16-021, VIGILANCE-VUL-21156.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via DLL Pre-loading de Norton ou Symantec Endpoint Protection, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-2207 CVE-2016-2209 CVE-2016-2210

Symantec : sept vulnérabilités du module "Decomposer"

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités des produits Symantec.
Produits concernés : Norton Antivirus, Norton Internet Security, Norton Security, Symantec Endpoint Protection, Symantec Mail Security, Symantec Web Gateway, SWS.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/06/2016.
Date révision : 29/06/2016.
Références : 810, 814, 816, 818, 819, 821, 823, CERTFR-2016-AVI-222, CVE-2016-2207, CVE-2016-2209, CVE-2016-2210, CVE-2016-2211, CVE-2016-3644, CVE-2016-3645, CVE-2016-3646, VIGILANCE-VUL-19997.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Symantec Endpoint Protection.

Un attaquant peut provoquer un buffer overflow via un sous flux de fichier MS-Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 823, CVE-2016-2209]

Un attaquant peut forcer la lecture à une adresse invalide via ALPkOldFormatDecompressor::UnShrink, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; 821, CVE-2016-3646]

Un attaquant peut provoquer un débordement d'entier via Attachment::setDataFromAttachment, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 819, CVE-2016-3645]

Un attaquant peut provoquer un buffer overflow via CMIMEParser::UpdateHeader, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; 818, CVE-2016-3644]

Un attaquant peut provoquer une corruption de mémoire via une archive MSPACK, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; 816, CVE-2016-2211]

Un attaquant peut provoquer un buffer overflow via CSymLHA::get_header, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 814, CVE-2016-2210]

Un attaquant peut provoquer une corruption de mémoire via une archive RAR, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; 810, CVE-2016-2207]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-2208

Symantec AVE : corruption de mémoire via PE Header

Synthèse de la vulnérabilité

Un attaquant peut provoquer une corruption de mémoire via un PE Header dans Symantec AVE, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du système.
Produits concernés : Norton Antivirus, Norton Internet Security, Norton Security, Symantec AV, Symantec Endpoint Protection.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 17/05/2016.
Références : 820, BID-90653, CVE-2016-2208, SYM16-008, VIGILANCE-VUL-19636.

Description de la vulnérabilité

Le moteur Symantec AVE analyse les exécutables au format PE.

Cependant, un entête PE malformé corrompt la mémoire dans un pilote noyau.

Un attaquant peut donc provoquer une corruption de mémoire via un PE Header dans Symantec AVE, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du système.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2012-1421 CVE-2012-1425 CVE-2012-1443

Symantec Antivirus : contournement via ELF, RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par Symantec Antivirus.
Produits concernés : Norton Antivirus, Symantec AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 21/03/2012.
Références : BID-52575, BID-52580, BID-52600, BID-52608, BID-52610, BID-52612, BID-52613, BID-52623, BID-52626, CVE-2012-1421, CVE-2012-1425, CVE-2012-1443, CVE-2012-1446, CVE-2012-1456, CVE-2012-1457, CVE-2012-1459, CVE-2012-1461, CVE-2012-1462, VIGILANCE-VUL-11472.

Description de la vulnérabilité

Les outils d'extraction d'archives (TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF) légèrement malformés. Cependant, Symantec Antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "MSCF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52575, CVE-2012-1421]

Une archive TAR contenant "\50\4B\03\04" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52580, CVE-2012-1425]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec une taille trop grande contourne la détection. [grav:1/4; BID-52610, CVE-2012-1457]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ contenant deux streams contourne la détection. [grav:1/4; BID-52626, CVE-2012-1461]

Une archive ZIP commençant par 1024 octets aléatoires contourne la détection. [grav:1/4; BID-52613, CVE-2012-1462]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits concernés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, transit de données.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2010-0106 CVE-2010-0107 CVE-2010-0108

Symantec AV, Norton AV : multiples vulnérabilités

Synthèse de la vulnérabilité

Trois vulnérabilités des produits Symantec et Norton permettent à un attaquant de désactiver l'antivirus ou d'exécuter du code.
Produits concernés : Norton Antivirus, Norton Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/02/2010.
Références : BID-38127, BID-38129, BID-38222, CERTA-2010-AVI-087, CVE-2010-0106, CVE-2010-0107, CVE-2010-0108, DSECRG-09-039, SYM10-002, SYM10-003, SYM10-004, VIGILANCE-VUL-9462.

Description de la vulnérabilité

Trois vulnérabilités ont été annoncées dans les produits Symantec et Norton.

Un attaquant local peut désactiver le scan à la volée de Symantec AntiVirus. [grav:2/4; BID-38127, CERTA-2010-AVI-087, CVE-2010-0106, SYM10-002]

Un attaquant peut provoquer un buffer overflow dans l'ActiveX SYMLTCOM.DLL de Norton AV/IS, afin de faire exécuter du code lorsque la victime consulte un site web illicite. [grav:2/4; BID-38129, CVE-2010-0107, SYM10-003]

Un attaquant peut provoquer un buffer overflow dans Symantec Client Proxy (CLIproxy.dll). [grav:1/4; BID-38222, CVE-2010-0108, DSECRG-09-039, SYM10-004]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2009-1348

F-Secure, McAfee, Symantec : contournement via PDF

Synthèse de la vulnérabilité

Un attaquant peut créer un document PDF illicite qui n'est pas détecté par les produits F-Secure, McAfee et Symantec.
Produits concernés : F-Secure AV, GroupShield, McAfee Security for Email Servers, VirusScan, Norton Antivirus, Norton Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/10/2009.
Références : BID-36848, BID-36876, CERTA-2009-AVI-172, CVE-2009-1348, FSC-2009-3, G-SEC 47-2009, G-SEC 48-2009, G-SEC 49-2009, SB10003, VIGILANCE-VUL-9133.

Description de la vulnérabilité

Un document PDF peut être spécialement construit pour être lu par Adobe Reader, mais pour ne pas être reconnu par un logiciel antivirus. Un attaquant peut créer un tel document, et ainsi contourner les produits de trois éditeurs.

Un document PDF illicite n'est pas détecté par les produits Symantec et Norton. [grav:2/4; G-SEC 47-2009]

Un document PDF illicite n'est pas détecté par les produits F-Secure. [grav:2/4; BID-36876, FSC-2009-3, G-SEC 48-2009]

Un document PDF illicite n'est pas détecté par les produits McAfee. De même, une archive TAR illicite n'est pas détecté par les produits McAfee. [grav:2/4; BID-36848, CERTA-2009-AVI-172, CVE-2009-1348, G-SEC 49-2009, SB10003]

Un attaquant peut donc créer un document PDF illicite qui n'est pas détecté par les produits F-Secure, McAfee et Symantec.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2009-3104

Symantec, Norton AV : déni de service

Synthèse de la vulnérabilité

Un attaquant peut envoyer un email illicite, afin que la victime ne puisse plus consulter ses autres emails.
Produits concernés : Norton Antivirus, Norton Internet Security, Symantec AV.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/08/2009.
Références : BID-34670, CVE-2009-3104, SYM09-012, VIGILANCE-VUL-8982.

Description de la vulnérabilité

Les produits Norton AntiVirus, Norton Internet Security, Symantec AntiVirus Corporate Edition et Symantec Client Security possèdent la fonctionnalité Internet Email Scanning qui scanne les emails lorsqu'ils sont téléchargés depuis le serveur de messagerie.

Cependant, un email illicite provoque une boucle infinie dans le moteur d'analyse, et interrompt la session avec le serveur de messagerie. La victime ne peut alors plus télécharger ses emails.

Un attaquant peut donc envoyer un email illicite, afin que la victime ne puisse plus consulter ses autres emails.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Symantec Norton Antivirus :