Kwetsbaarheid ontdekt in remote virusscanner Symantec Virus Detection (Free ActiveX)

[gezina]

Kwetsbaarheid ontdekt in remote virusscanner Symantec Virus Detection (Free ActiveX)

Programma: Symantec Virus Detection (Free ActiveX)
Versie: -
Besturingssysteem: Windows

Samenvatting
Er is een kwetsbaarheid ontdekt in de Symantec Virus Detection (Free ActiveX), die door een kwaadwillende misbruikt kan worden om willekeurige programma's uit te voeren op de computer waarop een virusscan op afstand is uitgevoerd.

Symantec Virus Detection (Free ActiveX) is een virusscanner die op de website van Symantec staat en die u kan gebruiken om op afstand een virusscan uit te voeren op uw computer. Virus Detection is onderdeel van Symantec Security Check.
Symantec Virus Detection scant op virussen, wormen en trojaanse paarden. Virus Detection scant geen ingepakte archief bestanden en repareert ook geen besmette bestanden.

Wanneer u gebruik heeft gemaakt van deze remote virusscanner wordt u geadviseerd een bepaald bestand te verwijderen (Zie Oplossingen).

Gevolgen
Het is voor een kwaadwillende mogelijk willekeurige programma's uit te voeren op uw computer.
Oplossingen
Verwijder het bestand rufsi.dll van computers die gescant zijn door de online virusscanner Symantec Virus Detection.
Links
http://security.symantec.com/sscv6/...fid=23&pkj=WJDORSJRFSKLUKUMXCC&vc_scanstate=2
http://theinsider.deep-ice.com
Technische details
Symantec Virus Detectie installeert en registreert "rufsi.dll" met de volgende COM objects:
Symantec.SymVAFileQuery.1 - Kwetsbaar
Symantec.SymVARegQuery1
Symantec.SymUtility1
Nadat voor de eerste keer Symantec Virus Detection is gebruikt kunnen deze objecten lokaal, maar ook op afstand, aangemaakt worden.
Bijvoorbeeld
Set object = CreateObject("Symantec.SymVAFileQuery.1" )
* De kwetsbaarheid zit in de "GetPrivateProfileString" functie van het object.

* De "GetPrivateProfileString" ontvangt de volgende parameters:
object.GetPrivateProfileString(bstrSection As String, bstrKey As String)

* Dit geeft de volgende toewijzing:
object.GetPrivateProfileString "file", [Really Long String - 'A'>740000]

Dit veroorzaakt een bufferoverflow, die een kwaadwillende op afstand in staat stelt een willekeurig programma op een kwetsbare computer uit te voeren. Bron: waarschuwingsdienst.nl

 

[nteusink]

Dit kreeg ik net:

Date: Thu, 08 Apr 2004 08:01:29 -0500
From: Sym Security <secure@symantec.com>
Subject: Re: Symantec Virus Detection(Free ActiveX) - Remote Buffer Overflow,
Apr 7 2004 2:22AM
To: bugtraq@securityfocus.com, full-disclosure@lists.netsys.com

In Response to:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Application: Symantec Virus Detection(Free ActiveX)
Vendors:
http://security.symantec.com/sscv6/...fid=23&pkj=WJDORSJRFSKLUKUMXCC&vc_scanstate=2

Platforms: Windows
Bug: Buffer Overflow
Risk: High - Running Arbitary Code
Exploitation: Remote with browser
Date: 1 Apr 2004
Author: Rafel Ivgi, The-Insider
e-mail: the_insider mail com
web: http://theinsider.deep-ice.com

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1) Introduction
2) Bugs
3) The Code

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


-------------------------------------snip-----------------------------------------------------------------------------




Symantec has closely reviewed our Symantec Security Check based on Rafel
Ivgi's finding in the referenced posting.
We have confirmed there is no buffer overflow and no remote code execution
issue in the Symantec Security Check application.
However, Symantec engineers were able to recreate a very low risk process
crash given a sufficently large quanity of data passed
to the function in question.

Following this scenerio, a user who recently ran a virus/security scan
using Symantec Security Check could possibly see their
browser crash were they to visit a malicious web site that was able to
successfully exploit that issue. In no instance would the
attacker be able to execute any remote code on the user system nor would
the attacker gain access to any unauthorized information
on the user's system through an attack against Symantec's Security Check
application.

Symantec takes the security and functionality of our products very
seriously and we are addressing the process crash issue in
Symantec Security Check. Symantec will work closely in cooperation with
anyone who feels they have found an issue in a Symantec product.
Contact secure@symantec.com.

Symantec Product Security Team
secure@symantec.com
http://www.symantec.com/security