Failles critiques dans les produits de F-Secure et Symantec

Par Grégory Le Bras le Vendredi 11 Février 2005 à 16:11:57

Alex Wheeler, de l'équipe ISS X-Force a mis le doigt sur deux vulnérabilités touchant les produits de F-Secure et Symantec. Celles-ci pourraient permettre à un attaquant distant ou un ver/virus de compromettre un système vulnérable.

Les failles jugées hautement critiques par Secunia affectent le module DEC2EXE du moteur d'analyse de Symantec, et la bibliothèque antivirus de F-Secure.

Le module DEC2EXE du moteur d'analyse utilisé dans les versions antérieures du moteur de balayage de Symantec présente en effet une vulnérabilité au dépassement de tas qui peut être déclenchée par un fichier UPX spécifique. Ainsi, lorsque ce fichier est analysé par le moteur DEC2EXE, et que la faille est exploitée avec succès, cette vulnérabilité peut permettre d'exécuter du code arbitraire à distance et de compromettre le système visé.

La bibliothèque antivirus F-Secure sert à interpréter différents formats de fichiers pour détecter les malwares. Le problème vient du fait qu'avant la décompression des archives au format ARJ, la bibliothèque ne vérifie pas correctement la longueur de certains champs. Ces champs sont copiés dans une mémoire tampon de tas à laquelle est alloué un nombre statique d'octets. Il en résulte une saturation de tas arbitraire avec restrictions modérées de caractères.

Cette vulnérabilité peut être déclenchée par un attaquant à distance non authentifié, sans interaction avec l'utilisateur, par l'envoi d'un courriel contenant un fichier d'archive ARJ spécifique. Il existe d'autres vecteurs d'attaque dans d'autres protocoles répandus (comme HTTP, FTP et POP3), mais certains d'entre eux pourraient exiger une interaction avec l'utilisateur.

Une exploitation réussie de cette vulnérabilité pourrait être utilisée pour accéder sans autorisation à des réseaux et à des ordinateurs protégés par un produit fondé sur la bibliothèque antivirus F-Secure.

Les produits Symantec touchés par cette vulnérabilité sont les suivants :

Produits d'entreprise
Norton AntiVirus pour Microsoft Exchange 2.1, versions antérieures à la version 2.18.85
Symantec Mail Security pour Microsoft Exchange 4.0, versions antérieures à la version 4.0.10.465
Symantec Mail Security pour Microsoft Exchange 4.5, versions antérieures à la version 4.5.3
Symantec AntiVirus/Filtering pour Domino NT 3.1, versions antérieures à la version 3.1.1
Symantec Mail Security pour Domino 4.0, versions antérieures à la version 4.0.1
Symantec AntiVirus/Filtering pour Domino Ports 3.0
- (AIX), versions antérieures à la version 3.0.6
- (OS400, Linux, Solaris), versions antérieures à la version 3.0.7
Symantec AntiVirus Scan Engine 4.3, versions antérieures à la version 4.3.3
Symantec AntiVirus pour unités de stockage réseautées, versions antérieures à la version 4.3.3
Symantec AntiVirus pour caches, versions antérieures à la version 4.3.3
Symantec AntiVirus pour passerelle SMTP 3.1, versions antérieures à la version 3.1.7
Symantec Mail Security pour passerelle SMTP 4.0, versions antérieures à la version 4.0.2
Symantec Web Security 3.0, versions antérieures à la version 3.0.1.70
Symantec BrightMail AntiSpam 4.0, toutes les versions
Symantec BrightMail AntiSpam 5.5, toutes les versions
Symantec AntiVirus Corporate Edition 9.0, versions antérieures à la version 9.01.1000 (la version MR1 n'est pas disponible dans toutes les régions)
Symantec AntiVirus Corporate Edition 8.01 et 8.1.1
Symantec Client Security 2.0, versions antérieures à la version 9.01.1000 (la version MR1 n'est pas disponible dans toutes les régions)
Symantec Client Security 1.0
Symantec Gateway Security 2.0 et 2.0.1 - série 5400
Symantec Gateway Security 1.0 - série 5300

Produits grand public
Symantec Norton Antivirus 2004 pour Windows
Symantec Norton Internet Security 2004 (Pro) pour Windows
Symantec Norton System Works 2004 pour Windows
Symantec Norton Antivirus 2004 pour Macintosh
Symantec Norton Internet Security 2004 pour Macintosh
Symantec Norton System Works 2004 pour Macintosh
Symantec Norton Antivirus 9.0 pour Macintosh
Symantec Norton Internet Security pour Macintosh 3.0
Symantec Norton System Works pour Macintosh 3.0

Les produits F-Secure touchés par cette vulnérabilité sont les suivants :

F-Secure Anti-Virus for Workstation 5.43 et versions antérieures
F-Secure Anti-Virus for Windows Servers 5.50 et versions antérieures
F-Secure Anti-Virus for Citrix Servers 5.50
F-Secure Anti-Virus for MIMEsweeper 5.51 et versions antérieures
F-Secure Anti-Virus Client Security 5.55 et versions antérieures
F-Secure Anti-Virus for MS Exchange 6.31 et versions antérieures
F-Secure Internet Gatekeeper 6.41 et versions antérieures
F-Secure Anti-Virus for Firewalls 6.20 et versions antérieures
F-Secure Internet Security 2004 et 2005
F-Secure Anti-Virus 2004 et 2005 Solutions fondées sur
F-Secure Personal Express 5.10 et versions antérieures
F-Secure Anti-Virus for Linux Workstations 4.52 et versions antérieures
F-Secure Anti-Virus for Linux Servers 4.61 et versions antérieures
F-Secure Anti-Virus for Linux Gateways 4.61 et versions antérieures
F-Secure Anti-Virus for Samba Servers 4.60
F-Secure Anti-Virus Linux Client Security 5.02 et versions antérieures
F-Secure Anti-Virus Linux Server Security 5.02 et versions antérieures