Ang mananaliksik ay nakakakita ng mga kritikal na kahinaan sa produkto ng Sophos antivirus

Security researcher Tavis Ormandy natuklasan kritikal na kahinaan sa antivirus produkto na binuo ng UK firm na seguridad firm Sophos at pinapayuhan na mga organisasyon sa iwasan ang paggamit ng produkto sa mga kritikal na sistema maliban kung ang vendor ay nagpapabuti sa pagpapaunlad ng produkto, kalidad ng katiyakan at mga tugon sa seguridad.

Ormandy, na nagtatrabaho bilang isang insinyur sa seguridad ng impormasyon sa Google, nagbigay ng mga detalye tungkol sa mga kahinaan na natagpuan niya sa isang pananaliksik na papel na pinamagatang " Sophail: Inilapat na pag-atake laban sa Sophos Anti virus "na na-publish noong Lunes. Sinabi ni Ormandy na ang pananaliksik ay ginanap sa kanyang bakanteng oras at na ang mga pananaw na ipinahayag sa papel ay ang kanyang sarili at hindi sa kanyang employer.

Ang papel ay naglalaman ng mga detalye tungkol sa maraming mga kahinaan sa antivirus code ng Sophos na responsable sa pag-parse ng Visual Basic 6, PDF, CAB at RAR file. Ang ilan sa mga kakulangan ay maaaring maatake sa malayo at maaaring magresulta sa pagpapatupad ng di-makatwirang code sa system.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Kasama sa Ormandy ang isang proof-of-concept exploit para sa mga kahinaan sa pag-parse ng PDF na sinasabing hindi nangangailangan ng pakikipag-ugnayan ng gumagamit, walang pagpapatunay at madaling ma-transformed sa isang self-spreading worm.

Ang mananaliksik ay nagtayo ng pagsasamantala para sa Mac na bersyon ng Sophos antivirus, ngunit nabanggit na ang kahinaan ay nakakaapekto din Ang mga bersyon ng Windows at Linux ng produkto at ang pagsasamantala ay madaling maisalin sa mga platform.

Ang kahinaan sa pag-parse ng PDF ay maaaring pinagsamantalahan sa pamamagitan lamang ng pagtanggap ng isang email sa Outlook o Mail.app, sinabi ni Ormandy sa papel. Dahil ang mga antivirus Sophos ay awtomatikong naharang sa mga operasyon ng pag-input at output (I / O), ang pagbubukas o pagbabasa ng email ay hindi kinakailangan.

"Ang pinaka-makatotohanang sitwasyong atake para sa isang pandaigdigang network worm ay pagpapalaganap sa sarili sa pamamagitan ng email." "Walang mga user ang kinakailangang makipag-ugnayan sa email, dahil ang kahinaan ay awtomatikong mapagsamantalahan."

Gayunpaman, posible rin ang ibang mga paraan ng pag-atake-halimbawa, sa pamamagitan ng pagbubukas ng anumang file ng anumang uri na ibinigay ng isang pag-atake; pagbisita sa isang URL (kahit na sa isang sandboxed browser), o pag-embed ng mga larawan gamit ang MIME cid: Mga URL sa isang email na binubuksan sa isang webmail client, sinabi ng mananaliksik. "Ang anumang paraan ng isang magsasalakay ay maaaring gamitin upang maging sanhi ako ay sapat na upang samantalahin ang kahinaan na ito."

Natagpuan din ni Ormandy na ang isang sangkap na tinatawag na "Buffer Overflow Protection System" (BOPS) na kasama ng Sophos antivirus, hindi pinapagana ang ASLR (address randomization layout ng espasyo) pagsasamantalang tampok na pagpapagaan sa lahat ng mga bersyon ng Windows na sinusuportahan ito sa pamamagitan ng default, kabilang ang Vista at sa ibang pagkakataon.

"Ito ay walang kapararahan lamang upang huwag paganahin ang sistemang ASLR tulad nito, lalo na upang magbenta ng isang walang malay na alternatibo sa mga customer na "Ang isang blacklisting component ng website para sa Internet Explorer na naka-install ng Sophos antivirus ay nagbabawas sa proteksyon na inaalok ng tampok na Protected Mode ng browser, sinabi ng mananaliksik. Bilang karagdagan, ang template na ginamit upang ipakita ang mga babala sa pamamagitan ng bahagi ng blacklisting ay nagpapakilala ng isang unibersal na cross-site na kahinaan sa scripting na pagkatalo sa Same Origin Policy ng browser.

Ang Parehong Patakaran sa Pinagmulan ay "isa sa mga pangunahing mekanismo ng seguridad na gumagawa ng ligtas sa internet gamitin, "sabi ni Ormandy. "Sa pagkatalo ng Patakaran sa Pinagmulang Pinagmulan, ang nakakahamak na website ay maaaring makipag-ugnayan sa iyong mga sistema ng Mail, Intranet System, Registrar, Mga Bangko at Payroll, at iba pa."

Mga komento ni Ormandy sa buong papel ay nagpapahiwatig na marami sa mga kahinaan na ito ay dapat na mahuli sa panahon ng pagpapaunlad ng produkto at mga proseso ng pagtiyak ng kalidad.

Ang researcher ay nagbahagi ng kanyang mga natuklasan sa Sophos nang maaga at ang kumpanya ay inilabas ang mga pag-aayos sa seguridad para sa mga kahinaan na isiwalat sa papel. Ang ilan sa mga pag-aayos ay pinalabas noong Oktubre 22, samantalang ang iba pa ay inilabas noong Nobyembre 5, sinabi ng kumpanya noong Lunes sa isang post sa blog.

Mayroong ilang mga posibleng exploitable na mga isyu na natuklasan ni Ormandy sa pamamagitan ng fuzzing-isang security testing paraan-na ibinahagi sa Sophos, ngunit hindi ibinunyag sa publiko. Ang mga isyu ay sinusuri at ang mga pag-aayos para sa mga ito ay magsisimula na ilulunsad sa Nobyembre 28, sinabi ng kumpanya.

"Bilang isang kompanya ng seguridad, pinananatiling ligtas ang mga customer ay ang pangunahing responsibilidad ni Sophos," sabi ni Sophos. "Dahil dito, sinisiyasat ng mga eksperto sa Sophos ang lahat ng mga ulat ng kahinaan at ipatupad ang pinakamahusay na kurso ng pagkilos sa pinakamahigpit na panahon na posible."

"Mabuti na ang Sophos ay nakapaghatid ng suite ng mga pag-aayos sa loob ng ilang linggo, at walang disrupting customers 'karaniwan na operasyon,' sinabi ni Graham Cluley, isang senior technology consultant sa Sophos, sa Martes sa pamamagitan ng email. "Nagpapasalamat kami na natagpuan ni Tavis Ormandy ang mga kahinaan, dahil nakatulong ito na gawing mas mahusay ang mga produkto ni Sophos."

Gayunpaman, hindi nasiyahan si Ormandy sa oras na kinuha ni Sophos ang mga kritikal na kahinaan na iniulat niya. Ang mga isyu ay iniulat sa kumpanya noong Setyembre 10, sinabi niya.

"Bilang tugon sa maagang pag-access sa ulat na ito, si Sophos ay naglaan ng ilang mga mapagkukunan upang malutas ang mga isyung tinalakay, gayunpaman maliwanag na hindi sila nilagyan ng kakayahan upang mahawakan ang output ng isang co-operative, non-adversarial security researcher, "sabi ni Ormandy. "Ang isang sopistikadong inisponsor ng estado o may mataas na motivated attacker ay maaaring magwasak ng buong base ng Sophos user nang madali."

"Sinasabi ng Sophos na ang kanilang mga produkto ay ipinapatupad sa buong pangangalagang pangkalusugan, gobyerno, pinansya at kahit militar," sabi ng mananaliksik. "Ang mga kaguluhan na isang motivated attacker ay maaaring maging sanhi sa mga sistemang ito ay isang makatotohanang pandaigdigang pagbabanta. Para sa kadahilanang ito, ang mga produkto ng Sophos ay dapat lamang na isaalang-alang para sa mababang halaga na di-kritikal na mga sistema at hindi kailanman na-deploy sa mga network o mga kapaligiran kung saan ang isang kumpletong kompromiso ng mga kaaway ay hindi maginhawa. "

Ang papel ni Ormandy ay naglalaman ng isang seksyon na naglalarawan ng mga pinakamahusay na kasanayan at kabilang ang mga rekomendasyon ng mga mananaliksik para sa mga customer ng Sophos, tulad ng pagpapatupad ng mga plano ng contingency na magpapahintulot sa kanila na huwag paganahin ang mga pag-install ng Sophos antivirus sa maikling abiso.

"Sophos ay hindi maaaring tumugon nang mabilis sapat upang maiwasan ang pag-atake, kahit na iniharap sa isang gumaganang pagsasamantala.. "Dapat piliin ng isang magsasalakay na gamitin ang Sophos Antivirus bilang kanilang daluyan sa iyong network, hindi lamang mapipigilan ni Sophos ang kanilang tuluy-tuloy na panghihimasok, at dapat mong ipatupad ang mga planong pang-contingency upang mahawakan ang sitwasyong ito kung pipiliin mong magpatuloy sa pag-deploy ng Sophos."