Ormandy, který pracuje jako bezpečnostní technik v Googlu, uveřejnil detaily o zranitelných místech ve své zprávě pojmenované: „Sophail: Aplikované útoky proti Anitiviru Sophos,“ která vyšla v pondělí. Ormandy také uvedl, že zprávu i průzkum realizoval ve svém volném čase.
Zpráva obsahuje detaily o několika slabých místech, která jsou zodpovědná za rozbor souborů Visual Basic 6, PDF, CAB a RAR. Některé tyto vady mohou být zneužity na dálku a mohou v systému spustit libovolný kód. Exploit, který výzkumník vyvinul, je zaměřený na verzi antiviru pro Mac, ale je použitelný i na verze pro Linux a Windows.
Podle zprávy Ormandyho stačí jednoduše otevřít e-mail v Outlooku nebo Mail.app. Protože antivirus zachytává operace vstupu a výstupu (I/O) automaticky, není dokonce ani potřeba e-mail otevřít. „Nejrealističtější scénář útoku na globální síť je sebepropagace skrze e-mail,“ konstatuje Ormandy. „Není ani potřeba žádná interakce s e-mailem ze strany uživatelů, protože zranitelné místo bude zneužito okamžitě.“
Ormandy také našel komponent nazvaný „Buffer Overflow Protection Systém“ (BOPS) který je dodávaný společně s antivirem Sophos a který vypíná ASLR (randomizace rozložení adresního prostoru). „Vypnutí ASLR pro celý systém je jednoduše neomluvitelné,“ prohlásil Ormandy.
Ormandyho komentáře ve zprávě naznačují, že mnoho těchto chyb mělo být zachyceno během vývoje produktu a během testování kvality. Výzkumník své objevy sdílel se společností s náskokem a tak již stihla vydat opravy pro některé chyby zveřejněné ve zprávě. V pondělí společnost na svém blogu oznámila, že některé z oprav byly nasazeny 22. října a ostatní 5. listopadu.
Některé potenciálně zneužitelné problémy, které Ormandy objevil, však stále zůstávají. Jejich oprava by měla být podle společnosti vydaná 28. listopadu.„Udržovat zákazníky v bezpečí je pro nás, jako bezpečnostní společnost, primární zodpovědností,“ informovali zástupci společnosti.
„Je dobré, že Sophos byl schopný nabídnout opravy během týdne a bez narušení práce zákazníků,“ napsal Graham Cluley, technologický konzultant v Sophosu. „Jsme vděční, že Tavis Ormandy našel slabá místa a pomohl naše produkty vylepšit.“
Ormandy však s časem, kterým Sophosu opravy zabraly, spokojen nebyl. Prozradil, že všechny zjištěné problémy nahlásil 10. září. „Sophos tvrdí, že jsou jejich produkty nasazeny ve zdravotnictví, ve vládě, finančnictví a dokonce i v armádě,“ napsal výzkumník. „Chaos, který by mohl motivovaný útočník způsobit je reálnou hrozbou pro celý svět. Z tohoto důvodu by měly být produkty od Sophosu používány spíše jen u systémů s nízkou hodnotou a na nekritických místech.“
Zpráva od Ormandyho obsahuje také doporučení výzkumníka pro zákazníky Sophosu. Například zařazení pohotovostních plánů, které umožní rychlé vyřazení programu z provozu. „Sophos jednoduše nezvládne reagovat dostatečně rychle, aby stihl zabránit útokům, ani když jsou jim chyby představeny ve funkčním exploitu,“ tvrdí. „Pokud se útočník rozhodne použít Sophos Antivirus jako svůj vstup do vaší sítě, Sophos tomu jednoduše nebude schopen zabránit. Takže pokud budete Sophos používat i nadále, budete si muset pro zvládnutí takové situace připravit pohotovostní plány.“
Výzkumník našel kritické chyby v antiviru od Sophosu
Bezpečnostní výzkumník Tavis Ormandy objevil zranitelnosti v antivirovém produktu Sophos. Organizacím doporučil, aby se tomuto antiviru vyhnuli, dokud ho výrobce lépe nezabezpečí.
autor Markéta Gajdošová | SecurityWorld |
Související články
Správu zabezpečení koncových bodů vylepšil Novell
Zabezpečení on-line transakcí na USB klíči představilo IBM
Smart Security 4 a NOD32 Antivirus 4 od Esetu jsou k dispozici pro betatesty
Microsoft slibuje bezplatný antivirus
Apple opravil 21 zranitelností v Mac OS X
SecurityWorld
Ransomwaru přibývá, firmy se zatím nepoučily. Češi jsou zodpovědní
O ochranu soukromí nejevíme zájem
Úroveň kyberbezpečnosti v organizacích je přímo úměrná ochotě vzdělávat se
GFI Unlimited Secure Email: Bezpečná elektronická pošta pro SMB
SMB firmy nejvíce trpí vyššími nároky na kyberbezpečnost

Komentáře