Sono state scoperte diverse vulnerabilità nel software Symantec Decomposer Engine, che viene utilizzato per aprire diversi tipi di contenitori e file compressi in svariati prodotti Symantec.
La più grave di queste vulnerabilità potrebbe essere sfruttata da un attaccante remoto inviando un file appositamente predisposto ad un’applicazione affetta. Quando il file malevolo viene analizzato dal motore di decompressione, possono verificarsi condizioni di corruzione della memoria, integer overflow o buffer overflow, potenzialmente sfruttabili per eseguire codice arbitrario da remoto.
A seconda dei privilegi associati all’applicazione, l’attaccante potrebbe essere in grado di installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi. Tentativi falliti di sfruttare queste vulnerabilità potrebbero portare al crash dell’applicazione con conseguente condizione di denial of service. Al momento non ci sono notizie che queste vulnerabilità siano state sfruttate in attacchi reali.
Dettagli delle vulnerabilità (in Inglese):
- RAR decompression memory access violation (CVE-2016-2207)
- Dec2SS buffer overflow (CVE-2016-2209)
- Dec2LHA buffer overflow (CVE-2016-2210)
- CAB decompression memory corruption (CVE-2016-2211)
- MIME message modification memory corruption (CVE-2016-3644)
- TNEF integer overflow (CVE-2016-3645)
- ZIP decompression memory access violation (CVE-2016-3646)
Queste vulnerabilità sono presenti nei seguenti prodotti Symantec Enterprise:
- Advanced Threat Protection (ATP) versione 2.0.3 e precedenti
- Symantec Data Center Security:Server (SDCS:S) versioni 6.0, 6.0MP1, 6.5, 6.5MP1, 6.6, 6.6MP1
- Symantec Web Security .Cloud
- Email Security Server .Cloud (ESS)
- Symantec Web Gateway
- Symantec Endpoint Protection (SEP) versione 12.1.6 MP4 e precedenti per Windows, OS X e Linux
- Symantec Protection Engine (SPE) versioni 7.0.5 e precedenti, 7.5.4 e precedenti, 7.8.0
- Symantec Protection for SharePoint Servers (SPSS) versioni dalla 6.0.3 alla 6.0.6
- Symantec Mail Security for Microsoft Exchange (SMSMSE) versioni 6.5.8, 7.0.4 e precedenti, 7.5.4 e precedenti
- Symantec Mail Security for Domino (SMSDOM) versioni 8.0.9 e precedenti, 8.1.3 e precedenti
- CSAPI versione 10.0.4 e precedenti
- Symantec Message Gateway (SMG) versione 10.6.1-3 e precedenti
- Symantec Message Gateway for Service Providers (SMG-SP) versioni 10.5, 10.6
Risultano affetti da queste vulnerabilità anche i seguenti prodotti della famiglia Norton:
- Norton Product Family tutte le versioni precedenti alla NGC 22.7 (include Norton Antivirus, Norton Security, Norton Security with Backup, Norton Internet Security, Norton 360)
- Norton Security for Mac versioni precedenti la 13.0.2
- Norton Power Eraser versioni precedenti la 5.1
- Norton Bootable Removal Tool versioni precedenti la 2016.1
Si raccomanda agli utenti dei prodotti sopra elencati di installare gli aggiornamenti messi a disposizione da Symantec al più presto possibile, dopo appropriato testing.
Per maggiori informazioni sulle vulnerabilità in oggetto, sulle patch disponibili e sulle modalità di aggiornamento dei singoli prodotti è possibile consultare l’avviso di sicurezza di Symantec.