Symantec bekrefter egen sårbarhet

Symantec har utgitt en teknisk artikkel som redegjør for nulldagssårbarheten som nylig ble oppdaget i deres eget sikkerhetsprodukt, Endpoint Protection.

Sårbarheten er av middels alvorlighetsgrad, stadfester selskapet.

Utnyttelse kan gi en angriper administrative rettigheter. Det kan også medføre at klienten krasjer eller i praksis fungere som et tjenestenektangrep mot maskinen. Alt dette krever imidlertid at man først allerede er logget inn på systemet.

Alle versjoner av Symantec Endpoint Protection i seriene 11.x og 12.x er berørt, men bare hvis tjenesten «application and device controll» kjører.

– Det er ikke rapportert at noen er kompromittert som følge av dette, skriver Symantec. De lover å håndtere problemet raskest mulig.

SBE (small business edition) eller nettsky-versjonen skal ikke være utsatt. Det er heller ikke Endpoint Protection Manager.

Det oppgis at sårbarheten ligger i driveren for nevnte tjeneste, kalt sysplant. Inntil det foreligger en feilfiks så foreslår Symantec at denne driveren enten skrus av eller at tjenesten avinstalleres fra programkonsoll.

En oppskrift på hvordan det gjøres kan leses på denne siden.

Som digi.no skrev onsdag planlegger IT-sikkerhetsselskapet Offensive Security å publisere angrepskode som utnytter feilen en av de nærmeste dagene. Det var de som oppdaget sårbarhetene ved en penetrasjonstest for en større kunde. Det samme selskapet skal ytterligere belyse funnet under Black Hat-konferansen i Las Vegas til uken.

Leave a Reply

Your email address will not be published.