Security waarschuwing voor Symantec's online Security Check

[virtually]

Er is een secutiy lek ontdekt in een ActiveX component dat geinstalleerd en als "veilig" wordt bestempeld wanneer men Symantec's online Security Check uitvoert. Het probleem is dat de "CompareVersionStrings" functie de input niet goed controleert. Hierdoor kunnen kwaadaardige websites het ActiveX component activeren en een lange kwaadaardige string toevoegen, die mogelijk willekeurige code kan uitvoeren. Er wordt aangeraden om de "Symantec RuFSI Utility Class" van het systeem te verwijderen. (Secunia)

[bron:security.nl]


Meer info;

http://www.secunia.com/advisories/9091/



Groetjes

 

[Sopur]

hallo,
Ik ben nog een leek maar ik begrijp niet goed hoe dit te verwijderen.
Heb gisteren een security check gedaan.

Graag nog enige uitleg hoe dit te verwijderen.

 

[Pieter Arntz]

In IE: Extra > Internetopties > tabblad algemeen > Instellingen > Objecten weergeven.
Daar op het ongewenste bestand rechtsklikken en verwijderen kiezen.

Groetjes,

Pieter

PS Thanks Virtually

 

[Sopur]

ok bedankt.
Is verwijderd.

 

[gezina]

Bij mij staat er dit: Symantec RuFSI Registry Information Class, dat zal wel wat anders zijn vermoed ik? Scherp trouwens Virtually!

 

[virtually]

Graag gedaan, ik ben trouwens benieuwd wat de reactie van Symantec(en Saldos) zal zijn op deze vulnerability, de scan is immers nog online....

Misschien weet Saldos al wat meer??


groetjes

 

[saldos]

Geplaatst door virtually
Graag gedaan, ik ben trouwens benieuwd wat de reactie van Symantec(en Saldos) zal zijn op deze vulnerability, de scan is immers nog online....
Misschien weet Saldos al wat meer??
groetjes

Dit is wat Symantec zegt:

Aren't ActiveX controls dangerous and inherently unsafe?
Yes and No. ActiveX controls are only as safe as the company that created them. If a control has a digital signature, it means that the control has not been tampered with and is guaranteed to be exactly the same as when the software publisher created it. The ActiveX controls we use are digitally signed by Symantec Corporation. When you see the Security Warning dialog box, check for the statement "Publisher authenticity verified by VeriSign". This statement guarantees that the control has not been tampered with since being signed by Symantec.

 

[Bennie]

Geplaatst door saldos


Dit is wat Symantec zegt:

Aren't ActiveX controls dangerous and inherently unsafe?
Yes and No. ActiveX controls are only as safe as the company that created them. If a control has a digital signature, it means that the control has not been tampered with and is guaranteed to be exactly the same as when the software publisher created it. The ActiveX controls we use are digitally signed by Symantec Corporation. When you see the Security Warning dialog box, check for the statement "Publisher authenticity verified by VeriSign". This statement guarantees that the control has not been tampered with since being signed by Symantec.

Daar zit nu juist het probleem. Heb je de link wel goed gelezen?

"The problem is that the "CompareVersionStrings" function doesn't verify input properly. This allows malicious web sites to activate the ActiveX component and supply very long maliciously crafted strings which possibly could execute arbitrary code.

Because the ActiveX component has been marked as safe, it may be activated by any other web site without warning or prompting the user."

Of slaat Secunia vals alarm?

Groetjes,
Bennie

 

[saldos]

Ik weet het niet Bennie.
Ik heb Symantec een mailtje gestuurd.
Ik laat wel even weten wat ik terug heb gekregen.

Ik de tussentijd raad ik gewoon aan om Symantec RuFSI Utility "Class van vieuw objects" in de internet opties te verwijderen indien je die hebt.

 

[Bennie]

Ok, ik vreesde even dat dat de "officiële" reactie van Symantec op Secunia zou zijn...

Groetjes,
Bennie

 

[saldos]

Nee Bennie. Ik had het van hier:

http://security.symantec.com/sscv6/...m&plfid=22&pkj=GPYJIHKERRDTIPOKYJL#Gen_FAQ_q4

De officiele reactie moet nog komen.

 

[saldos]

Ok heren, Ik heb een officiele bericht van Symantec:

The current ActiveX Control - which can be named Symantec RuFSI Utility Class or Symantec RuFSI Registry Information Class - contains a buffer overflow exploit. The buffer overflow can be exploited when the user with this ActiveX Control visits a malicious website intent on exploiting this vulnerability. The exploit can cause Internet Explorer to crash and/or the execution of arbitrary code on the user's computer.
Symantec has replaced the current ActiveX Control on the Symantec Security Check website so that new visitors will not be affected by the exploit.
Recent visitors to Symantec Security Check should revisit the site and run a new Security Scan. By running a new scan, the previous ActiveX Control will be replaced by an updated ActiveX Control that fixes the buffer overflow condition.
Advanced users can attempt to delete the ActiveX Control by rebooting and then going into the system folder: %SystemRoot%\Downloaded Program Files\ and delete "rufsi.dll". This must be done by using the command prompt and the user must not be on the Symantec Security Check site at the time.


Dus de oude RuFSI is vervangen nu en is veilig om te gebruiken.

 

[virtually]

Thanks voor de info Saldos

Groetjes

 

[saldos]

Graag gedaan

 

[saldos]

hahahaha !!!!!!,

Ik beloof dat we de voorpagina hebben gehaald op webwereld met ons bericht op helpmij.nl en mijn bericht naar Symantec. Zo zie je maar weer wat we hier teweeg kunnen brengen:

Lek in online virusscan Symantec gedicht

Woensdag, 25 juni 2003 - Symantec heeft gebruikers dinsdag gewaarschuwd voor het gebruik van de online virusscanner. De scanner installeerde een ActiveX-script met een lek.

Bij het uitvoeren van een online virusscan installeert Symantec een ActiveX-script op de computer van gebruiker. Het script dat tot nu toe gebruikt werd, bevat een beveiligingslek dat door hackers is te misbruiken om de macht over de computer over te nemen.

Het gaat om het bestand met de naam Symantec RuFSI Utility Class of Symantec RuFSI Registry Information Class.

Symantec heeft de online scanner inmiddels vervangen door een ActiveX-script waarbij het lek is gedicht. Het bedrijf raadt gebruikers die onlangs de online scanner hebben gebruikt, om nogmaals de scan uit te voeren zodat het lekke bestand vervangen wordt door het nieuwe ActiveX-script.

"Dit is eigenlijk wel grappig", meent beveiligingsdeskundige Cesar Cerrudo tegenover CNet. "Symantec probeert gebruikers te beveiligen en in plaats daarvan installeren ze gevaarlijk ActiveX-onderdeel."

Bron:
http://www.webwereld.nl/nieuws/15452.phtml

 

[nteusink]

En dat zou door dit topic komen?

 

[saldos]

Geplaatst door nteusink
En dat zou door dit topic komen?

Ja, ik denk het wel.
Want ook Symantec wist er namelijk niets vanaf voordat ik ze het bericht stuurde.

En het bericht is dat ik heb gekregen is ook nooit gepubliceerd.

 

[nteusink]

Geplaatst door saldos
Want ook Symantec wist er namelijk niets vanaf voordat ik ze het bericht stuurde.

Dat betwijfel ik toch zeer... symantec is toch echt een bedrijf dat zich bezighoudt met beveiliging.

Als een bedrijf dat zich bezighoudt met vulnerability checking en patching gister pas achter een lek in eigen systemen kwam dat uitgebreid in het nieuws was (zondag al) dan frisbee ik de norton security producten die ik gebruik zo het raam uit.

 

[Bennie]

Nooit gepubliceerd? Dus Symantec heeft haar gebruikers helemaal niet gewaarschuwd, zoals WebWereld zegt? :8-0: :8-0: :8-0:

Groetjes,
Bennie

 

[nteusink]

Ik heb het eerder gezegd en ik zeg het weer:

Bij symantec zijn ze gewoon te koppig om hun eigen fouten onder ogen te zien:

http://securityresponse.symantec.com/avcenter/security/SymantecAdvisories.html

Zoals de ontdekker van het lek al in zijn orginele advisory opmerkte, ik vraag me af of dit in de securityfocus database komt.

Eerlijk is eerlijk: Symantec is blijkbaar niet de enige:

Uit de orginele post van Cesar Cerrudo:

I recomend antivirus companies with online virus scan
service to check your ActiveX controls if you are
really interested in protect users, especially Trend
Micro fix those HouseCall ActiveX multiple
overflows!!!.