Tavis Ormandy trouve des vulnérabilités dans les produits Sophos Anti-Virus

  • ID de l'article 118424
  • Classement :
  • 2 clients ont évalué cet article 5.0 sur 6
  • Mis à jour : 20 déc. 2013

Sophos améliore en continu la protection assurée par nos produits à travers des mises à jour régulières et nous conseillons toujours aux clients de procéder à une mise à niveau vers la toute dernière version pour avoir la meilleure protection possible.

En tant que société de sécurité informatique, la sécurité de nos clients est notre principale responsabilité. L'amélioration de la protection est essentielle mais, pour atteindre cet objectif, nous améliorons aussi continuellement la sécurité de nos produits, y compris en collaborant avec des experts de sécurité indépendants.

Dans ce cas, Sophos collabore avec Tavis Ormandy, qui a approché Sophos avec un certain nombre de vulnérabilités qu'il a découvertes après avoir examiné notre produit de protection pour ordinateurs d'extrémité.

Connu pour s'appliquer aux produits et aux versions Sophos suivants
Diffère en fonction de la vulnérabilité. Pour plus de détails, voir les tableaux ci-dessous. 

Sophos croit à la divulgation responsable. Nous apprécions l'aide de Tavis Ormandy et d'autres personnes comme lui dans la communauté de recherche : ils nous aident à rendre nos produits plus solides et plus sûrs.  Les vulnérabilités spécifiques qu'il a signalées sont les suivantes :

  1. Dépassement des entiers lors de l'analyse des contrôles Visual Basic 6
  2. Détournement ASLR sophos_detoured_x64.dll
  3. Le mode protégé Internet Explorer est effectivement désactivé par Sophos
  4. XSS universel
  5. Vulnérabilité de corruption de mémoire dans les analyseurs Microsoft CAB
  6. Corruption de la mémoire des filtres standard dans la machine virtuelle RAR
  7. Escalade des droits via le service de mise à jour du réseau
  8. Dépassement de la mémoire tampon dû à une pile lors du déchiffrement des fichiers PDF

Plus récemment, Mr Ormandy nous a remis des exemples d'autres fichiers spécialement conçus (sans vulnérabilités associées) qui entraîneraient un comportement inattendu du moteur Sophos Anti-Virus lors d'un contrôle. Une nouvelle version du moteur antivirus, permettant de mieux gérer ces types de fichiers, sera déployée pour les clients Sophos à partir du 28 novembre 2012.

Si vous utilisez un produit de sécurité pour passerelles Sophos (PureMessage pour UNIX, Sophos UTM ou une appliance Web ou de messagerie), nous avons publié Sophos Anti-Virus version 4.83 destiné aux produits de sécurité pour passerelles afin de traiter toutes les vulnérabilités correspondantes dont la liste figure ci-dessous. Pour plus de détails, consultez l'article 118522.

Versions recommandées des produits

Veuillez trouver ci-dessous un tableau pour vous conseiller rapidement sur la version minimale du produit que nous recommandons.  Non seulement ceci résoudra toutes les vulnérabilités ci-dessus, mais permet aussi d'assurer une meilleure protection.

Plate-forme Produit recommandé
Windows 2000+ 10.2.1 / 10.0.9 / 9.7.8 / 9.5.7
Mac OS X 8.0.8
Linux/UNIX administré version 9 9.0.0
Linux/UNIX administré version 7
7.5.11
Linux/UNIX non administré 4.83.0

†Si vous utilisez Sophos Anti-Virus pour Windows 10.0.9, vous disposez de toutes les corrections sauf pour le problème du mode protégé Internet Explorer, qui sera traité dans Sophos Anti-Virus pour Windows 10.0.10 début décembre.
‡9.x sont des packages 'Maintenance étendue' actuellement prévus pour un déploiement par étapes en décembre.

Si vous avez un produit passerelle, vérifiez la version du moteur et assurez-vous qu'il correspond aux éléments recommandés :

Plate-forme Version
Sophos Web Appliance 2012.11.8.4830003
Sophos Email Appliance 483000.0.20121108.1256
Sophos UTM 4.83.0
PureMessage pour UNIX 4.83.0

Je ne parviens pas à mettre à niveau vers la version recommandée, que dois-je faire ?

Si vous avez des ordinateurs utilisant Windows 2000/XP/2003/Vista/7/2008/2008 R2/8 et trouvez que vous ne parvenez pas à effectuer la mise à niveau vers le produit recommandé, veuillez contacter le support technique ou votre interlocuteur commercial pour essayer de résoudre les problèmes de mise à niveau.

Comment mettre à niveau vers la version recommandée ?

Assurez-vous que votre Sophos Update Manager est abonné au package logiciel appelé 'Recommended' comme le décrit notre article : Gestion de vos abonnements logiciels dans l'Enterprise Console.


Détails des vulnérabilités

Dépassement des entiers lors de l'analyse des contrôles Visual Basic 6
Description : Une vulnérabilité d'exécution du code distant dans la manière dont le moteur Sophos Anti-Virus effectue le contrôle des fichiers compilés Visual Basic 6 mal formés - Les exécutables Visual Basic 6 incluent des métadonnées pour les GUID, les noms, les chemins, etc. Sophos Anti-Virus extrait certaines de ces métadonnées lorsqu'il trouve un exécutable VB6. Le code de validation pour ces métadonnées a géré incorrectement des dépassements d'entiers, ce qui peut entraîner un exploit de dépassement.
Produit(s) affecté(s) Moteur de détection des menaces 3.35.1 et versions antérieures
Corrigé dans Moteur de détection des menaces 3.36.2 et
Anti-Virus pour Unix 4.82
Nous a été signalé pour la première fois : 10 septembre 2012
Jours avant que la correction ne soit publiée : 42
Déploiement de la correction effectuée le : 22 octobre 2012
Exploit rencontré dans la nature ? Non


Détournement ASLR sophos_detoured_x64.dll
Description : Problème avec la technologie BOPS dans Sophos Anti-Virus pour Windows et comment il interagit avec la distribution aléatoire de l'espace d'adressage (ASLR, Address Space Layout Randomisation) sous Windows Vista et versions supérieures. La protection BOPS Sophos a besoin de la plupart des processus pour charger la DLL Sophos_detoured sur les systèmes 32-bits/64 bits ; or cette DLL n'utilisait pas ASLR, ce qui a provoqué son chargement à une adresse statique, ignorant efficacement l'utilisation d'ASLR ailleurs dans le produit et augmentant les risques d'exploits.
Produit(s) affecté(s) Anti-Virus 9.x (lors de l'exécution sous Windows Vista et versions supérieures)
Anti-Virus 10.x (lors de l'exécution sous Windows Vista et versions supérieures)
Corrigé dans Anti-Virus 10.2.0
Anti-Virus 10.0.9
Anti-Virus 9.7.8
Anti-Virus 9.5.7
Nous a été signalé pour la première fois : 10 septembre 2012
Jours avant que la correction ne soit publiée : 42
Déploiement de la correction effectuée le : 22 octobre 2012
Exploit rencontré dans la nature ? Non


Le mode protégé Internet Explorer est effectivement désactivé par Sophos
Description : Problème dans la façon dont la protection Sophos interagit avec le mode protégé d'Internet Explorer - Sophos installe un Layered Service Provider (LSP) dans Internet Explorer, ce qui charge des fichiers DLL à partir de répertoires en écriture. Ceci désactive efficacement le mode protégé d'Internet Explorer, car les DLL légitimes peuvent être altérées ou remplacées et IE les exécute tout de même.
Produit(s) affecté(s) Anti-Virus 10.x
Corrigé dans Anti-Virus 10.2.1
Anti-Virus 10.0.10
Nous a été signalé pour la première fois : 10 septembre 2012
Jours avant que la correction ne soit publiée : 56
Déploiement de la correction commencée le : 5 novembre 2012 pour 10.2.1
Début décembre pour 10.0.10
Exploit rencontré dans la nature ? Non


XSS universel
Description : La page de blocage du Layered Service Provider (LSP) de la protection Web et du contrôle du Web Sophos semble inclure un défaut qui peut être exploité par des sites Web spécialement conçus, pour exécuter du code JavaScript inséré dans les balises de requête URL.
Produit(s) affecté(s) Anti-Virus 10.x
Corrigé dans Anti-Virus 10.0.9
Anti-Virus 10.2.0
Nous a été signalé pour la première fois : 10 septembre 2012
Jours avant que la correction ne soit publiée : 42
Déploiement de la correction effectuée le : 22 octobre 2012
Exploit rencontré dans la nature ? Non


Vulnérabilité de corruption de mémoire dans les analyseurs Microsoft CAB
Description : Vulnérabilité dans la manière dont le moteur Sophos Anti-Virus gère des fichiers CAB spécialement conçus, ce qui peut entraîner la corruption de la mémoire par le moteur ; il y a une erreur dans la façon dont le processus vérifie quel algorithme de compression est spécifié pour la structure CFFolder. L'erreur conduit à l'ignorance du contrôle de plage sur la taille des données d'entrée, conduisant à un dépassement de la mémoire tampon.
Produit(s) affecté(s) Moteur de détection des menaces 3.35.1 et versions antérieures
Corrigé dans Moteur de détection des menaces 3.36.2
Anti-Virus pour Unix 4.82
Nous a été signalé pour la première fois : 10 septembre 2012
Jours avant que la correction ne soit publiée : 42
Déploiement de la correction effectuée le : 22 octobre 2012
Exploit rencontré dans la nature ? Non


Corruption de la mémoire des filtres standard dans la machine virtuelle RAR
Description : Vulnérabilité dans la façon dont le moteur Sophos Anti-Virus a géré des fichiers RAR spécialement conçus, ce qui peut entraîner la corruption de la mémoire par le moteur - la décompression RAR inclut un byte-code interprétant VM. L'opcode VM_STANDARD prend un filtre pour opérande. Ces filtres n'ont pas été gérés correctement.
Produit(s) affecté(s) Moteur de détection des menaces 3.36.2 et versions antérieures
Corrigé dans Moteur de détection des menaces 3.37.2
Moteur de détection des menaces 3.37.10 (utilisé dans Anti-Virus pour Mac OS X 8.08)
Moteur de détection des menaces 3.37.20 (utilisé dans Anti-Virus pour Linux 9)
Anti-Virus pour Unix 4.83
Nous a été signalé pour la première fois : 10 septembre 2012
Jours avant que la correction ne soit publiée : 56
Déploiement de la correction commencée le : 5 novembre 2012
Exploit rencontré dans la nature ? Non


Escalade des droits via le service de mise à jour du réseau
Description : Un manque de contrôle d'accès dans le répertoire de mise à jour Sophos a potentiellement permis à tout utilisateur d'insérer son propre fichier et de l'exécuter - Le service de mise à jour du réseau Sophos fonctionne avec les droits NT AUTHORITY\SYSTEM. Ce service charge des modules depuis un répertoire qui était en écriture sans droits. Un fichier DLL spécialement conçu pouvait être placé dans le répertoire accessible à tous et chargé par le service de mise à jour avec les droits SYSTEM.
Produit(s) affecté(s) Anti-Virus 9.x
Anti-Virus 10.0.3
Corrigé dans Anti-Virus 9.5.6
Anti-Virus 9.7.7
Anti-Virus 10.0.4+
Nous a été signalé pour la première fois : 15 mars 2012
Jours avant que la correction ne soit publiée : 54
Déploiement de la correction effectuée le : 8 mai 2012
Exploit rencontré dans la nature ? Non


Dépassement de la mémoire tampon dû à une pile lors du déchiffrement des fichiers PDF
Description : Vulnérabilité d'exécution de code distant dans la façon dont le moteur Sophos Anti-Virus déchiffre des fichiers PDF de révision 3 qui ont été spécialement conçus avec un attribut de grande taille - Le moteur Sophos Anti-Virus analyse les fichiers PDF de révision 3 chiffrés en lisant le contenu de la clé de chiffrement sur une mémoire de pile d'une longueur fixe de 5 octets. Un fichier PDF spécialement conçu avec l'attribut de longueur supérieur à 5^8 entraîne un dépassement de la mémoire tampon.
Produit(s) affecté(s) Moteur de détection des menaces 3.36.2 et versions antérieures
Corrigé dans Moteur de détection des menaces 3.37.2
Moteur de détection des menaces 3.37.10 (utilisé dans Anti-Virus pour Mac OS X 8.08)
Moteur de détection des menaces 3.37.20 (utilisé dans Anti-Virus pour Linux 9)
Anti-Virus pour Unix 4.83
Nous a été signalé pour la première fois : 5 octobre 2012
Jours avant que la correction ne soit publiée : 31
Déploiement de la correction commencée le : 5 novembre 2012
Exploit rencontré dans la nature ? Non


 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires