資訊安全技術論壇

 找回密碼
 加入會員
搜索
查看: 2206|回復: 0

[重要訊息] 賽門鐵克資安公告 - SYM16-010

[複製鏈接]
發表於 2016-7-3 01:24:45 | 顯示全部樓層 |閱讀模式
本帖最後由 DannyLan 於 2016-7-5 14:30 編輯

日前一名來自於 Google Project Zero 的安全研究人員 Tavis Ormandy,發現賽門鐵克 (Symantec) 旗下安全產品存在多項高風險漏洞,可能導致駭客取得用戶 PC 控制權限。目前 Symantec 的資訊安全團隊已經針對這些漏洞發布安全公告與解決方案。

賽門鐵克解譯器引擎多重剖析漏洞 (Symantec Decomposer Engine Multiple Parsing Vulnerabilities) (SYM16-010)
嚴重程度 (CVSS v2 及 CVSS v3)

CVSS
Base Score
CVSS Vector
RAR 解壓縮記憶體存取違規 - 高
v2 7.8
AV:N/AC:L/Au:N/C:N/I:N/A:C
v3 7.5
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Dec2SS 緩衝區溢位 - 高
v2 9.0
AV:N/AC:L/Au:N/C:P/I:P/A:C
v3 8.6
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
Dec2LHA 緩衝區溢位 - 高
v2 9.0
AV:N/AC:L/Au:N/C:P/I:P/A:C
v3 8.6
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
CAB 解壓縮記憶體損毀 - 高
v2 7.8
AV:N/AC:L/Au:N/C:N/I:N/A:C
v3 7.5
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
MIME 訊息修改記憶體損毀 - 高
v2 7.8
AV:N/AC:L/Au:N/C:N/I:N/A:C
v3 7.5
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
TNEF 整數溢位 - 低
0.0
AV:N/AC:L/Au:N/C:N/I:N/A:N
ZIP 解壓縮記憶體存取違規
v2 7.8
AV:N/AC:L/Au:N/C:N/I:N/A:C
v3 7.5
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

概述

賽門鐵克在多種產品的不同組態中所使用的防毒解譯器引擎中,發現緩衝區溢位 (buffer overflow) 和記憶體損毀 (memory corruption) 漏洞。

受影響的企業產品

產品
版本
解決方案
Advanced Threat Protection (ATP) 透過病毒定義檔更新程式進行更新
Symantec Data Center Security:Server (SDCS:S)6.0
6.0MP1
6.5
6.5MP1
6.6
6.6MP1
透過病毒定義檔更新程式進行更新
Symantec Web Security .Cloud 透過託管型軟體更新來進行更新、客戶介面無需更新
Email Security Server .Cloud (ESS) 透過託管型軟體更新來進行更新、客戶介面無需更新
Symantec Web Gateway 透過病毒定義檔更新程式進行更新
Symantec Endpoint Protection (SEP)12.1.6 MP4 及之前版本更新至 SEP 12.1 RU6 MP5
Symantec Endpoint Protection for Mac (SEP for Mac)12.1.6 MP4 及之前版本所有支援的產品版本可透過 LiveUpdate 進行更新
Symantec Endpoint Protection for Linux (SEP for Linux)12.1.6 MP4 及之前版本更新至 SEP for Linux 12.1 RU6 MP5
Symantec Protection Engine (SPE)7.0.5 及之前版本更新至 SPE 7.0.5 HF01
Symantec Protection Engine (SPE)7.5.4 及之前版本SPE 7.5.4 (AWS 平台) 應更新至 SPE 7.5.4 HF01
SPE 7.5.3 及之前版本則應更新至 SPE 7.5.3 HF03
Symantec Protection Engine (SPE)7.8.0更新至 SPE 7.8.0 HF01
Symantec Protection for SharePoint Servers (SPSS)6.03 到 6.05更新至 Hotfix: SPSS_6.0.3_To_6.0.5_HF_1.5
Symantec Protection for SharePoint Servers (SPSS)6.0ˊ6 及之前版本更新至 Hotfix: SPSS_6.0.6_HF_1.6
Symantec Mail Security for Microsoft Exchange7.0.4 及之前版本更新至 Hotfix: SMSMSE_7.0_3966002_HF1.1
Symantec Mail Security for Microsoft Exchange7.5.4 及之前版本更新至 Hotfix: SMSMSE_7.5_3966008_VHF1.2
Symantec Mail Security for Domino (SMSDOM)8.0.9 及之前版本更新至 Hotfix: SMSDOM_8.0.9_HF1.1
Symantec Mail Security for Domino (SMSDOM)8.1.3 及之前版本更新至 Hotfix: SMSDOM_8.1.3_HF1.2
CSAPI10.0.4 及之前版本更新至 CSAPI 10.0.4 HF01
Symantec Message Gateway (SMG)SMG 10.6.1- 3 及之前版本更新至 SMG 10.6.1-4
Symantec Message Gateway for Service Providers (SMG-SP)10.6SMG-SP 10.6、patch 253
Symantec Message Gateway for Service Providers (SMG-SP)10.5SMG-SP 10.5、patch 254

詳細資訊

在剖析以惡意方式格式化的容器檔案時,可能會造成賽門鐵克解譯器引擎中的記憶體損毀、整數溢位或緩衝區溢位問題。成功刺探這些漏洞通常會造成應用程式層級的服務阻斷,不過也可能會造成允許執行任意程式碼。因此攻擊者有可能透過將精心設計的檔案傳送給使用者來執行任意程式碼。

在 TNEF 解除封包程式中,溢位並未因底層程式碼而產生任何有害的動作。不過,由於不恰當的建置方式,有可能在某個時間點遭到惡意人士進一步利用。因此,在解譯器引擎更新中,我們也解決了這個問題。

賽門鐵克的應變

賽門鐵克已確認這些問題,並根據上面我們已判斷出來的受影響產品對照表,在產品更新中解決了這些問題。我們也在我們的安全開發生命周期中新增了更多的檢查項目,以便在未來減少類似問題的發生。

賽門鐵克在外部並未發現這些漏洞受到刺探。

為了完全免除我們發現的這些漏洞,賽門鐵克建議客戶儘速對受影響的產品套用所需的修補程式。這是確保已安裝產品不會遭受攻擊的唯一方法。為了攔截/偵測攻擊者試圖進行刺探,賽門鐵克已發佈了下列病毒特徵。

漏洞
特徵
LiveUpdate rev.
RAR 解壓縮記憶體存取違規
EXP.CVE-2016-2207
20160628.037
Dec2SS 緩衝區溢位
EXP.CVE-2016-2209
20160628.037
Dec2LHA 緩衝區溢位
EXP.CVE-2016-2210
20160628.037
CAB 解壓縮記憶體損毀
EXP.CVE-2016-2211
20160628.037
MIME 訊息修改記憶體損毀
EXP.CVE-2016-3644
20160628.037
TNEF 整數溢位
EXP.CVE-2016-3645
20160628.037
ZIP 解壓縮記憶體存取違規
EXP.CVE-2016-3646
20160628.037

更新資訊

所有諾頓產品已透過 LiveUpdateTM 進行更新。賽門鐵克企業產品的客戶應檢查上面提供的表格,瞭解哪些產品已自動更新、哪些需要手動進行產品更新。

如何判別產品更新狀況:

產品判別產品更新狀況
Advanced Threat Protection (ATP)請確認已套用最新的病毒定義檔更新程式
Symantec Web Security (SWS)請確認已套用最新的病毒定義檔更新程式
Symantec Data Center Security:Server (SDCS:S)請確認已套用最新的病毒定義檔更新程式
Symantec Endpoint Protection (SEP)所有平台 - 在「說明 -> 關於」中會反映出 MP5 版本至少 為 12.1.7004.6500
Symantec Endpoint Protection for Linux (SEP for Linux)所有平台 - 在「說明 -> 關於」中會反映出 MP5 版本至少 為 12.1.7004.6500
Symantec Endpoint Protection for Mac (SEP for Mac)更新後的掃描引擎版本應為 12.1.3
Symantec Protection Engine (SPE)術支援將會提供有關所在位置、部署及驗證步驟的通知
https://support.symantec.com/en_US/article.INFO3791.html
Symantec Protection for SharePoint Servers (SPSS)技術支援將會提供有關所在位置、部署及驗證步驟的通知
https://support.symantec.com/en_US/article.INFO3795.html
Symantec Mail Security for Microsoft Exchange技術支援將會提供有關所在位置、部署及驗證步驟的通知
https://support.symantec.com/en_US/article.INFO3794.html
Symantec Mail Security for Domino (SMSDOM)技術支援將會提供有關所在位置、部署及驗證步驟的通知
https://support.symantec.com/en_US/article.INFO3793.html
CSAPI技術支援將會提供有關所在位置、部署及驗證步驟的通知
Symantec Message Gateway (SMG)目前已安裝版本應為 10.6.1-4
Symantec Message Gateway for Service Providers (SMG- SP)請確認已安裝的更新二進位檔案版本和修補程式發行說明 中所指明的總和檢查碼 (checksum) 相同

請注意:針對您特定的企業產品,若您需要取得更多的支援資訊,請參考:
https://support.symantec.com/en_US/article.TECH125408.html

最佳實務準則

賽門鐵克強烈建議您採取以下一般最佳實務準則:
  • 限制只有獲得授權的高權限使用者可存取系統管理用的系統。
  • 限制遠端存取,如有需要,可限制只有受信任/獲得授權的系統才可進行遠端存取。
  • 在最低權限的原則下執行,如此可減少可能遭受攻擊的影響。
  • 利用廠商提供的修補程式將所有作業系統和應用程式維持在最新狀態。
  • 遵守多層式安全方式。最少應同時執行防火牆和防惡意程式應用程式,以便針對入埠與離埠威脅提供多個偵測點與防護點。
  • 部署網路或託管型入侵偵測系統,以監控網路流量,找出異常或可疑活動的徵兆。如此可協助偵測與刺探潛伏漏洞有關的攻擊或惡意活動。

完整資訊請參考以下連結
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00

您需要登錄後才可以回帖 登錄 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|資訊安全技術論壇  

GMT+8, 2022-1-23 14:15 , Processed in 30.151253 second(s), 27 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表