Bug in Symantec AntiVirus

  • Bron (c) 2005, VirusAlert

Een lek in het anti-viruspakket van Symantec maakt het mogelijk dat een hacker op afstand toegang tot een systeem kan krijgen. Symantec bevestigde dit bericht en verwijst op haar website naar ‘patches’ waarmee dit probleem verholpen kan worden.

Met behulp van een buffer overflow in de scan engine kunnen aanvallers code uitvoeren op een kwetsbaar systeem, zodat het lek de stempel ‘high risk’ meekreeg. Het gaat hierbij specifiek om de controle van invoer van gebruikers betreffende http-verzoek. Om het lek succesvol te misbruiken moet het overigens wel mogelijk zijn op http-verzoeken naar poort 8004 te versturen. Naast het verwerven van controle over het systeem, zijn gebruikers echter ook vatbaar voor DoS-aanvallen op hun systeem.

Patches installeren

Doordat het lek zich in de scan engine versie 4.0 en 4.3 bevindt, zijn verschillende producten die op de bedrijfswereld gericht zijn en gebruikmaken van deze engine ook vatbaar voor het lek. Er wordt dan ook aangeraden zo snel mogelijk de patches te installeren. Een workaround bestaat erin de user interface uit te schakelen door als poortnummer ‘0’ in te stellen en de scan engine opnieuw te starten. Om de interface weer te kunnen gebruiken moet het poortnummer teruggezet worden naar 8004/tcp in het configuratiebestand.