Bufferoverloopgat crasht AV van Norton en Symantec

Binnen Windows wordt de kwetsbare scanengine in de kernel geladen.

Antivirusprogramma's zijn soms een groter probleem dan het issue dat ze moeten verhelpen, stelt Google Project Zero's Tavis Ormandy. Deze keer vond hij een probleem in de engine van Symantec.

Beveiligingsonderzoeker Tavis Ormandy richt zich al enige tijd op een in zijn beleving grondig probleem met security vandaag de dag: onveilige beveiligingsproducten. Na problematische bugs in onder meer producten van Malwarebytes, Avast, AVG, FireEye en TrendMicro, komt de dubieuze eer deze keer Symantec toe.




Ormandy vond een bufferoverloopissue in producten onder de vlag Symantec en Norton, waardoor het proces crasht en een kernelpanic oplevert onder Linux, OS X en andere *nix-platforms. In Windows wordt de antivirusengine in de kernel geladen, waardoor een bufferoverloopkwetsbaarheid in ring 0 (kernelmodus) wordt geïntroduceerd. "Erger dan dit wordt het niet", schrijft Ormandy.

De onderzoeker meldde het issue al begin deze maand, maar door miscommunicatie kwam die niet aan bij Symantec. Bij nieuwe pogingen afgelopen zondag werd er dieper naar het probleem gekeken. Symantec publiceerde deze week een waarschuwing over het issue en een gepatchte engine, versie 20151.1.1.4.