Jediné, co útočník musí udělat, je poslat e-mail s vadným souborem jako přílohu nebo přesvědčit uživatele, aby klikl na nebezpečný odkaz.
Samotné spuštění souboru již není třeba: Jádro antiviru používá ovladač k zachycení všech systémových operací a automaticky soubor „projede“ ve chvíli, kdy jakkoli pronikne do systému.
Již v pondělí firma chybu opravila v Anti-Virus Engine (AVE) aktualizaci verze 20151.1.1.4 skrze službu LiveUpdate. Bezpečnostní vadou je přetečení bufferu, které mohlo nastat během parsování spustitelných souborů s vadným záhlavím.
Přípona souboru nehraje roli, má-li záhlaví označující jej jako přenosný spustitelný soubor, zapackovaný pomocí ASPacku, komerčního kompresního softwaru.
Zdaleka nejhorší zprávou však je, že Symantec AVE takové soubory rozbaluje uvnitř kernelu, tedy přímo v jádru operačního systému, oblasti s nejvyššími pravomocemi. To znamená, že úspěšné nakažení systému může vést ke kompletní ztrátě moci nad celým systémem.
„Na Linuxu, Macu a dalších unixových platformách může tento proces způsobit vzdálené přetečení heapu (haldy) v procesech Symantecu nebo Nortonu,“ vysvětluje Ormandy v článku k tématu. „Ve Windows tento proces vede k přetečení paměti přidělené kernelu, jak je sken jádra v kernelu postupně načítán, což z toho činí vzdálenou zranitelnost ring0 memory corruption – o moc horší už to být nemůže.“
Symantec zranitelnost ohodnotil na škále CVSS na 9,1 z 10 maximálních, tedy jako extrémně nebezpečnou.
„Nejčastější ukazatel úspěšného útoku by bylo okamžité selhání systému, tedy modrá obrazovka smrti ,“ popsala společnost v článku.
Uživatelé by se měli ujistit, že nainstalovali nejnovější možné aktualizace, dostupné pro jejich Symantec antivirové produkty.
Jde o nejnovější z dlouhé řady kritických chyb nalezených Ormandym a jinými bezpečnostními analytiky v antivirových produktech z posledních let. Většina z nich nepřestává výrobce antivirů kritizovat za jejich tendenci pokračovat s nebezpečnými skeny souborů, které v minulosti vedly ke zneužití chyb pomocí získaných pravomocí kernelu.