Esto es lo que le ha pasado recientemente a algunos productos de Symantec, desarrolladora de algunos antimalware. En Project Zero de Google han mencionado los productos Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine y Symantec Email Security, aunque no descarta que otros también puedan estar afectados. Si mencionamos los sistemas operativos, la gravedad de la situación aumenta, debido a que la vulnerabilidad encontrada afecta a Windows, Mac OS X, Linux y otros sistemas Unix, variando el impacto según el sistema.

Básicamente, la vulnerabilidad se trata de un desbordamiento de memoria (de la RAM) que se provoca cuando una sección de datos es truncada, haciendo que el SizeOfRawData (tamaño de los datos en crudo) sea más grande que el SizeOfImage (tamaño de la imagen). Esto permite realizar una ejecución de código en remoto que afecta a partes importantes del sistema operativo.

A nivel de cada uno de los distintos sistemas operativos, la vulnerabilidad tiene como efecto sobre Linux, Mac y otros Unix el desbordamiento remoto como root en el proceso Norton o Symantec. Sin embargo, en Windows el problema es más grave, ya que como resultado da una corrupción de memoria en el kernel debido a que el escáner del antimalware se carga en su interior, provocando un pantallazo azul de la muerte.

Para aprovechar la vulnerabilidad, el atacante tiene que enviar a su víctima un programa malicioso específicamente diseñado para exprimir este desbordamiento de memoria que puede ser provocado a través de los productos de Symantec (entre los cuales destaca el popular Norton Antivirus). Evidentemente, la víctima tiene que tener instalado algún producto de dicha compañía de seguridad.

¿Cuánto protegen de verdad los antimalware?

Nuestros compañeros de MuyComputer publicaron el año pasado un artículo en el cual se cuestionaba los antimalware como medio para proteger al usuario frente a ciertas amenazas. No hay que tomarse esto como un “no instale ningún antivirus, que son malos”, sino como un aviso de que los antimalware, al igual que cualquier otro software, pueden contener vulnerabilidades, incluyendo las más peligrosas para el usuario.

 

Fuente: muyseguridad