Avisos 08 de November, 2012

Vulnerabilitat crítica als productes Symantec

El fabricant de productes de seguretat Symantec ha publicat un butlletí de seguretat amb informació sobre una vulnerabilitat que afecta Symantec Endpoint Protection. La vulnerabilitat permetria a un atacant remot sense necessitat d'autenticació executar codi arbitrari a la màquina afectada.

 

Impacte
 
Execució remota de codi.
 
Recursos afectats
 
Symantec Endpoint Protection Small Business Edition 12.0
Symantec Endpoint Protection 11.0
Symantec Scan Engine 5.2
 
NOTA: la vulnerabilitat podria afectar també a altres productes anteriors, però no s'indiquen a l'estar fora del seu cicle de suport. El fabricant recomana actualitzar a una versió amb suport vigent.
 
Solució
 
Es recomana actualitzar immediatament a la nova versió que soluciona la vulnerabilitat (Symantec Endpoint Protection 12.1).
El fabricant ha indicat que Symantec Endpoint Protection 11 utilitza un motor d'escaneig antic, i que el millor mecanisme de re-mediació és actualitzar a la versió 12.1, no hi ha plans d'actualització de la versió 11.
 
Com a mesura de mitigació, el fabricant recomana la desactivació del escaneig de fitxers de tipus CAB. Per dur a terme aquest canvi de configuració, consulti les instruccions concretes a l'avís de seguretat del fabricant.
 
Altres mesures de mitigació serien fer ús de l'eina Emet (Microsoft Enhanced Mitigation Experience Toolkit) i activar la funcionalitat DEP (Data Execution Prevention), que impedirien o almenys dificultarien l'explotació de la vulnerabilitat.
 
Detall
 
La vulnerabilitat resideix al component de tractament de fitxers de tipus CAB (dec_abi.dll o Dec2CAB.DLL). Un fitxer CAB mal format pot provocar una corrupció de memòria durant l'escaneig d'aquest, a causa d'un error a la comprovació de límits.
Un atacant podria provocar aprofitar la vulnerabilitat enviant a la víctima un fitxer maliciós per correu electrònic o qualsevol altre mètode que provoqués l'escaneig per part del producte afectat.
El identificador estàndard per aquesta vulnerabilitat és:
 
CVE-2012-4953
 
Referències
 
Avís de seguretat de Symantec SYM12-017
 
Avís de seguretat de US-CERT
 
Publicat a: Avisos