Produkte
29.06.2016

Symantec und Norton: Massive Lücke gefährdet Millionen

Ein massiver Bug gefährdet Symantec-Software. Die Schwachstelle ist so schwerwiegend, dass Angreifer ohne Zutun des Nutzers die volle Kontrolle über Rechner übernehmen können.

Laut Google-Forschern enthält Software vom Hersteller Symantec eine Sicherheitslücke, die Millionen Privatkunden und Unternehmen gefährdet. Die Lücke ist so schwerwiegend, dass sie eine großflächige Attacke erlaubt, die sich von selbst weiterverbreitet und Angreifern ermöglicht, die komplette Kontrolle über Rechner zu übernehmen.

„Die Schwachstellen sind so schlimm wie nur möglich“, sagt Tavis Ormandy, ein Forscher bei Googles Project Zero in einem Blog Post laut Ars Technica. Sie würden keine Nutzeinteraktion benötigen, die Standardkonfiguration betreffen und Angreifern höchstmöglichen Zugriff erlauben.

Um einen Rechner zu attackieren, reiche es schon, eine schadhafte Datei zu mailen. Der Nutzer muss die Datei nicht manuell öffnen, um sich die Schadsoftware einzufangen. Grund ist, dass Symantec-Produkte sämtlichen ein- und ausgehenden Datenverkehr scannen. An dieser Stelle kann die Lücke schon ausgenutzt werden, ohne jegliches Zutun der Anwender.

Alle Produkte betroffen

Weil sämtliche Symantec- und Norton-Produkte auf demselben Kern aufbauen, sind alle gleichermaßen betroffen. Dazu zählen laut Google etwa:

  • Norton Security, Norton 360, und ältere Norton-Produkte (alle Plattformen)
  • Symantec Endpoint Protection (alle Versionen, alle Plattformen)
  • Symantec Email Security (alle Plattformen)
  • Symantec Protection Engine (alle Plattformen)
  • Symantec Protection für SharePoint Server
  • und viele mehr

Manche Produkte können nicht automatisch aktualisiert werden, weswegen Administratoren sofort handeln bzw. ihre System überprüfen sollten. Symantec stellt hier entsprechende Informationen bereit.

Entpacker

Die Lücke betrifft die Entpacker-Engine, die Symantec-Software nutzt, um komprimierte Dateien für das Scannen vorzubereiten. Weil der Entpacker direkt im System-Kernel ausgeführt werden, kann Schadsoftware so volle Kontrolle über die Computer übernehmen. Ormandy merkt in dem Blogpost an, dass Symantec die Engine in einer Sandbox ausführen müsste, um möglicherweise schadhaften Code zu isolieren.