Tavis Ormandy ha rilevato la presenza di vulnerabilità nei prodotti Sophos Anti-Virus

  • ID dell'articolo: 118424
  • Valutazione:
  • 1 di clienti ha valutato questo articolo 6.0 su 6
  • Aggiornato il: 20 dic 2013

In Sophos lavoriamo per migliorare costantemente la protezione fornita ai nostri clienti grazie ad aggiornamenti regolari; ci preoccupiamo, inoltre, di sottolineare sempre l'importanza di effettuare l'upgrade alla versione più recente dei prodotti in esecuzione, in modo tale da poter beneficiare della migliore protezione a disposizione.

In quanto azienda produttrice di software per la sicurezza informatica, garantire protezione efficace a tutti i nostri clienti è sicuramente di fondamentale importanza. Migliorare i nostri livelli di protezione è certamente una prerogativa centrale, ma questo va di pari passo con la costante attenzione che riserviamo al potenziamento della sicurezza dei nostri stessi prodotti; ciò include anche collaborare con ricercatori indipendenti.

In questo caso specifico, Sophos collabora da tempo con Tavis Ormandy, che ci ha informato della presenza di vulnerabilità dopo avere condotto un'attenta analisi del nostro prodotto per Endpoint Protection.

Questo problema si verifica nei prodotti e versioni Sophos elencati qui di seguito
Diversi per ogni vulnerabilità Per dettagli consultare la tabella qui sotto. 

Sophos crede nella diffusione responsabile di informazioni. Siamo molto grati dell'aiuto fornitoci da Tavis Ormandy, e dagli altri membri della comunità di ricercatori, nel collaborare con noi per rendere i nostri prodotti ancora più efficaci e sicuri.  Le vulnerabilità rilevate sono:

  1. Overflow di intero durante l'analisi dei controlli di Visual Basic 6
  2. Omissione ASLR in sophos_detoured_x64.dll
  3. La modalità protetta di Internet Explorer viene disabilitata da Sophos
  4. XSS universale
  5. Danneggiamento della memoria nei parser di Microsoft CAB
  6. Danneggiamento della memoria nei filtri standard delle macchine virtuali RAR
  7. Escalation dei privilegi tramite il servizio di aggiornamento della rete
  8. Stack overflow durante la decifrazione di file PDF

Di recente, Ormandy ci ha fornito esempi di file appositamente modificati (a cui non è legata alcuna vulnerabilità) che possono provocare a comportamenti inaspettati del motore di Sophos Anti-Virus, quando sottoposto a scansione. Una nuova versione del motore Anti-Virus, che possa meglio gestire questi tipi di file, verrà distribuita ai clienti Sophos a partire dal 28 novembre 2012.

Se si stanno utilizzando i prodotti di sicurezza di gateway Sophos (per es. PureMessage per UNIX, Sophos UTM o applinace web/e-mail), abbiamo realizzato Sophos Anti-Virus versione 4.83 per i prodotti di sicurezza gateway, in modo da rislvere tutte le vulnerabilità elencate di seguito. Per ulteriori dettagli, consultare l'articolo 118522.

Versioni prodotto consigliate

La tabella qui di seguito fornisce informazioni consultabili rapidamente su quali siano le versioni minime consigliate per i prodotti in esecuzione.  Ciò consentirà di risolvere le vulnerabilità elencate sopra e fornirà anche protezione più efficace.

Piattaforma Prodotto consigliato
Windows 2000 e successivo 10.2.1 / 10.0.9 / 9.7.8 / 9.5.7
Mac OS X 8.0.8
Managed Linux/UNIX v. 9 9.0.0
Managed Linux/UNIX v. 7
7.5.11
Linux/UNIX non gestiti 4.83.0

†Se si sta eseguendo Sophos Anti-Virus per Windows 10.0.9 si dispone di tutti i fix, eccetto che per i problemi relativi alla modalità protetta di Internet Explorer, risolti in Sophos Anti-Virus per Windows 10.0.10 il cui rilascio è programmato per l'inizio di dicembre.
‡9.x sono pacchetti di "manutenzione estesa" la cui distribuzione è programmata per dicembre.

Se si possiede un prodotto gateway verificare la versione del motore e controllare che corrisponda a quella consigliata:

Piattaforma Versione
Sophos Web Appliance 2012.11.8.4830003
Sophos Email Appliance 483000.0.20121108.1256
Sophos UTM 4.83.0
PureMessage per UNIX 4.83.0

Impossibile eseguire l'upgrade alla versione consigliata, cosa fare?

Nel caso si disponga di computer che eseguono Windows 2000/XP/2003/Vista/7/2008/2008 R2/8 e non si riesce ad eseguire l'upgrade consigliato, si prega di contattare il supporto tecnico o il proprio account manager in modo tale da trovare una soluzione per questo problema.

Come eseguire l'upgrade alla versione consigliata

Verificare che Sophos Update Manager sia sottoscritto al pacchetto software "Consigliato", come descritto in questo articolo: Gestione delle sottoscrizioni software in Enterprise Console.

 

Dettagli delle vulnerabilità

Overflow di intero durante l'analisi dei controlli di Visual Basic 6
Descrizione: Si tratta di una vulnerabilità legata all'esecuzione di codice remoto e dovuta alla modalità in cui Sophos Anti-Virus esegue la scansione di file compilati con Visual Basic 6 (gli eseguibili di Visual Basic 6 includono metadati per GUID, nomi, percorsi ecc.). Sophos Anti-Virus estrae alcuni dei metadati quando trova un eseguibile di VB6. Il codice di convalida per questi metadati gestisce in modo errato l'overflow di intero, e ciò può portare allo sfruttamento dell'overflow dell'heap.
Prodotti colpiti Motore di rilevamento delle minacce 3.35.1 e precedente
Risolta in Motore di rilevamento delle minacce 3.36.2 e
Anti-Virus per Unix 4.82
Rilevato per la prima volta: 10 settembre 2012
Giorni trascorsi dal rilascio di fix: 42
Distribuzione del fix completata il: 22 ottobre 2012
Sfruttata No


Omissione ASLR in sophos_detoured_x64.dll
Descrizione: Si tratta di un problema relativo alla tecnologia BOPS in Sophos Anti-Virus per Windows e al modo in cui interagisce con Address Space Layout Randomisation (ASLR) in Windows Vista e successivi. Sophos BOPS richiede alla maggior parte dei processi di caricare il file DLL "Sophos_detoured DLL on 32bit / 64bit"; questo DLL non utilizza però ASLR e viene quindi caricato in un indirizzo statico; ciò porta a evitare completamente l'utilizzo di ASLR determinando così un amento nel rischio di sfruttamento di questa vulnerabilità.
Prodotti colpiti Anti-Virus 9.x (quando si esegue Windows Vista e successivi)
Anti-Virus 10.x (quando si esegue Windows Vista i successivi)
Risolta in Anti-Virus 10.2.0
Anti-Virus 10.0.9
Anti-Virus 9.7.8
Anti-Virus 9.5.7
Rilevato per la prima volta: 10 settembre 2012
Giorni trascorsi dal rilascio di fix: 42
Distribuzione del fix completata il: 22 ottobre 2012
Sfruttata No


La modalità protetta di Internet Explorer viene disabilitata da Sophos
Descrizione: Si tratta di un problema relativo al modo in cui la protezione Sophos interagisce con la modalità protetta di Internet Explorer; Sophos installa un Layered Service Provider (LSP) in Internet Explorer, che carica file DLL da directory scrivibili. Ciò porta alla disabilitazione della modalità protetta di Internet Explorer, dal momento che DLL legittimi possono essere modificati o addirittura sostituiti e IE continuerà ad eseguirli.
Prodotti colpiti Anti-Virus 10.x
Risolta in Anti-Virus 10.2.1
Anti-Virus 10.0.10
Rilevato per la prima volta: 10 settembre 2012
Giorni trascorsi dal rilascio di fix: 56
Distribuzione del fix iniziata il: 5 novembre 2012 per 10.2.1
Inizio di dicembre per 10.0.10
Sfruttata No


XSS universale
Descrizione: La pagina di blocco del Layered Service Provider (LSP), della protezione e controllo web Sophos, presenta un difetto che può essere sfruttata da siti web appositamente modificati per eseguire il codice JavaScript inserito nei tag query dell'URL.
Prodotti colpiti Anti-Virus 10.x
Risolta in Anti-Virus 10.0.9
Anti-Virus 10.2.0
Rilevato per la prima volta: 10 settembre 2012
Giorni trascorsi dal rilascio di fix: 42
Distribuzione del fix completata il: 22 ottobre 2012
Sfruttata No


Danneggiamento della memoria nei parser di Microsoft CAB
Descrizione: Si tratta di una vulnerabilità nel modo in cui Sophos Anti-Virus gestisce file CAB appositamente modificati, e che può portare al danneggiamento della memoria. Si verifica infatti un errore nel processo di verifica di quale algoritmo di compressione venga specificato per la struttura CFFolder. Questo errore porta a saltare una serie di controlli relativi alle dimensioni dei dati di input, e può quindi causare buffer overflow.
Prodotti colpiti Motore di rilevamento delle minacce 3.35.1 e precedente
Risolta in Motore di rilevamento delle minacce 3.36.2
Anti-Virus per Unix 4.82
Rilevato per la prima volta: 10 settembre 2012
Giorni trascorsi dal rilascio di fix: 42
Distribuzione del fix completata il: 22 ottobre 2012
Sfruttata No


Danneggiamento della memoria nei filtri standard delle macchine virtuali RAR
Descrizione: Si tratta di una vulnerabilità nel modo in cui Sophos Anti-Virus gestisce file RAR appositamente modificati, e che può portare al danneggiamento della memoria. La decompressione RAR include una VM di interpretazione del codice byte. Il codice operativo di VM_STANDARD considera i filtri come se fossero operandi. Questi filtri non vengono quindi gestiti in modo corretto.
Prodotti colpiti Motore di rilevamento delle minacce 3.36.2 e precedente
Risolta in Motore di rilevamento delle minacce 3.37.2
Motore di rilevamento delle minacce 3.37.10 (utilizzato in Anti-Virus per Mac OS X 8.08)
Motore di rilevamento delle minacce 3.37.20 (utilizzato in Anti-Virus per Linux 9)
Anti-Virus per Unix 4.83
Rilevato per la prima volta: 10 settembre 2012
Giorni trascorsi dal rilascio di fix: 56
Distribuzione del fix iniziata il: 5 novembre 2012
Sfruttata No


Escalation dei privilegi tramite il servizio di aggiornamento della rete
Descrizione: La mancanza di controllo degli accessi nella directory di aggiornamento di Sophos può, in teoria, consentire a qualsiasi utente di inserire ed eseguire file. Il servizio di aggiornamento della rete di Sophos viene eseguito con privilegi NT AUTHORITY\SYSTEM. Questo servizio carica moduli da una directory modificabile senza richiedere alcun privilegio specifico. Un file DLL appositamente modificato potrebbe essere posizionato in tale directory e caricato dal servizio di aggiornamento con privilegi SYSTEM.
Prodotti colpiti Anti-Virus 9.x
Anti-Virus 10.0.3
Risolta in Anti-Virus 9.5.6
Anti-Virus 9.7.7
Anti-Virus 10.0.4+
Rilevato per la prima volta: 5 marzo 2012
Giorni trascorsi dal rilascio di fix: 54
Distribuzione del fix completata il: 8 maggio 2012
Sfruttata No


Stack overflow durante la decifrazione di file PDF
Descrizione: Si tratta di una vulnerabilità legata all'esecuzione di codice remoto e dovuta alla modalità in cui Sophos Anti-Virus decifra file PDF revisione 3 appositamente modificati aventi attributi di dimensioni eccessive. Sophos Anti-Virus analizza i file PDF revisione 3 cifrati leggendo il contenuto della chiave di cifratura su uno stack buffer dalle dimensioni fisse pari a 5 byte. Un file PDF appositamente modificato e con un attributo di dimensioni superiori a 5^8 può causare buffer overflow.
Prodotti colpiti Motore di rilevamento delle minacce 3.36.2 e precedente
Risolta in Motore di rilevamento delle minacce 3.37.2
Motore di rilevamento delle minacce 3.37.10 (utilizzato in Anti-Virus per Mac OS X 8.08)
Motore di rilevamento delle minacce 3.37.20 (utilizzato in Anti-Virus per Linux 9)
Anti-Virus per Unix 4.83
Rilevato per la prima volta: 5 ottobre 2012
Giorni trascorsi dal rilascio di fix: 31
Distribuzione del fix iniziata il: 5 novembre 2012
Sfruttata No


 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti