Vulnerabilidad en módulo UPX de Norton AntivirusSe ha reportado que varios productos antivirus de Symantec, son propensos a una vulnerabilidad de desbordamiento remoto de la memoria HEAP (la porción de memoria que un programa utiliza de forma dinámica).
Este fallo afecta el motor que procesa los archivos comprimidos con la herramienta UPX (Ultimate Packer para eXecutables).
Una explotación exitosa, puede permitir a un atacante remoto ejecutar código en forma arbitraria en los equipos que ejecuten cualquiera de los productos vulnerables, comprometiendo seriamente la seguridad del sistema.
El ataque puede ser realizado a través de protocolos comunes, tales como SMTP, HTTP, FTP. No se requiere autenticación para comprometer un equipo o una red protegida con alguno de los productos afectados.
El problema se produce en el módulo DEC2EXE. Symantec ya no utiliza este módulo para procesar archivos comprimidos. Dicho módulo ha sido removido de la mayoría de sus productos.
Software vulnerable
- Norton Antivirus 2004
- Norton Antivirus 2004 para Macintosh
- Norton Antivirus 8.0 para Macintosh
- Norton Antivirus 9.0 para Macintosh
- Norton Antivirus para MS Exchange 2.1
- Norton Internet Security 2004 para Macintosh
- Norton Internet Security 2004 Professional Edition
- Norton Internet Security para Macintosh 2.0
- Norton Internet Security para Macintosh 3.0
- Norton System Works 2004 para Macintosh
- Norton System Works 7.0 para Macintosh
- Norton System Works para Macintosh 3.0
- Norton SystemWorks 2004
- Symantec Antivirus Corporate Edition 8.0 1
- Symantec Antivirus Corporate Edition 8.1.1
- Symantec Antivirus Corporate Edition 9.0
- Symantec Antivirus para Caching
- Symantec Antivirus para Network Attached Storage
- Symantec Antivirus para SMTP 3.1
- Symantec Antivirus Scan Engine 4.0
- Symantec Antivirus Scan Engine 4.3
- Symantec Antivirus/Filtering para Domino NT 3.1
- Symantec Antivirus/Filtering para Domino Ports 3.0
- Symantec Brightmail Anti-Spam 4.0
- Symantec Brightmail Anti-Spam 5.5
- Symantec Client Security 1.0.1
- Symantec Client Security 1.1.1
- Symantec Gateway Security 5300 1.0
- Symantec Gateway Security 5400 2.0
- Symantec Gateway Security 5400 2.0.1
- Symantec Mail Security para Domino 4.0
- Symantec Mail Security para Microsoft Exchange 4.0
- Symantec Mail Security para Microsoft Exchange 4.5
- Symantec Mail Security para SMTP 4.0
- Symantec Web Security 3.0
Software NO vulnerable
- Norton Antivirus 2003
- Norton Antivirus 2005
- Norton Antivirus Corporate Edition 7.6
- Norton Antivirus para MS Exchange 1.5
- Norton Antivirus para MS Exchange 2.0
- Norton Antivirus para MS Exchange 2.1
- Norton Antivirus para MS Exchange 2.18.82
- Norton Antivirus para MS Exchange 2.18.85
- Norton Internet Security 2003 Professional Edition
- Norton Internet Security 2005
- Norton System Works 2005 Premier
- Norton SystemWorks 2003
- Symantec AntiSpam para SMTP 3.1
- Symantec Antivirus Corporate Edition 8.0 1.425a/b
- Symantec Antivirus Corporate Edition 8.0 1.429c
- Symantec Antivirus Corporate Edition 8.0 1.501
- Symantec Antivirus Corporate Edition 8.0 1.9374
- Symantec Antivirus Corporate Edition 8.0 1.9378
- Symantec Antivirus Corporate Edition 8.1.0.825a
- Symantec Antivirus Corporate Edition 8.1.1.366
- Symantec Antivirus Corporate Edition 9.0.0.338
- Symantec Antivirus Corporate Edition 9.0.1.1.1000
- Symantec Antivirus para Caching 4.3.3
- Symantec Antivirus para Handhelds 3.0
- Symantec Antivirus para Handhelds 3.0.0.194
- Symantec Antivirus para Handhelds Corporate Edition 3.0
- Symantec Antivirus para MS Office SharePoint Portal Server 2003
- Symantec Antivirus para SMTP 3.1.7
- Symantec Antivirus Scan Engine 4.3.3
- Symantec Antivirus/Filtering para Domino NT 3.1.1
- Symantec Antivirus/Filtering para Domino Ports 3.0.6
- Symantec Antivirus/Filtering para Domino Ports 3.0.7
- Symantec Brightmail Anti-Spam 6.0
- Symantec Brightmail Anti-Spam 6.0.1
- Symantec Client Security 1.0.0 b8.01.9378
- Symantec Client Security 1.0 b8.01.9374
- Symantec Client Security 1.0.1 MR1 b8.01.425a/b
- Symantec Client Security 1.0.1 MR2 b8.01.429c
- Symantec Client Security 1.0.1 MR9 b8.01.501
- Symantec Client Security 1.1 STM b8.1.0.825a
- Symantec Client Security 1.1.1 MR6 b8.1.1.266
- Symantec Client Security 2.0 STM build 9.0.0.338
- Symantec Client Security 2.0.1 MR1 b9.0.1.1000
- Symantec Client Security 2.0.2 MR2 b9.0.2.1000
- Symantec Client Security 2.0.3 MR3 b9.0.3.1000
- Symantec Client Security para Nokia Communicator
- Symantec I-Gear MS Proxy 3.5
- Symantec Mail Security para Domino 4.0.1
- Symantec Mail Security para Domino 4.1
- Symantec Mail Security para Microsoft Exchange 4.0 build 456
- Symantec Mail Security para Microsoft Exchange 4.0 build 463
- Symantec Mail Security para Microsoft Exchange 4.0 build 465
- Symantec Mail Security para Microsoft Exchange 4.5 build 736
- Symantec Mail Security para Microsoft Exchange 4.5 build 741
- Symantec Mail Security para Microsoft Exchange 4.5 build 743
- Symantec Mail Security para Microsoft Exchange 4.6
- Symantec Mail Security para SMTP 4.1
- Symantec Mail-Gear 1.0
- Symantec Mail-Gear 1.1
- Symantec Web Security 3.0.1.70
Solución:
Actualizar el producto utilizado por una versión no vulnerable a la brevedad posible.
Actualizaciones y versiones de mantenimiento también están disponibles a través de LiveUpdate o desde el siguiente enlace:
Symantec Product Support
http://www.symantec.com/techsupp/Créditos:
Alex Wheeler (ISS X-Force)
Referencias:
Symantec UPX Parsing Engine Heap Overflow
www.symantec.com/avcenter/security/Content/2005.02.08.htmlSymantec Antivirus Library Heap Overflow
http://xforce.iss.net/xforce/alerts/id/187Publicado en:
http://www.vsantivirus.com/vul-symantec-120205.htm
