Symantec Ürünleri Kritik Güvenlik Zafiyeti
Google Project Zero ekibinden Travis Ormandy tarafından keşfedilip topluca yayınlanan zafiyetler aşağıdaki güvenlik ürünlerini etkilemektedir;

  • Norton Security, Norton 360, and other legacy Norton products (All Platforms)
  • Symantec Endpoint Protection (Tüm Sürümler ve Tüm Platformlar)
  • Symantec Email Security (Tüm Platformlar)
  • Symantec Protection Engine (Tüm Platformlar)
  • Symantec Protection for SharePoint Servers

Zafiyetin Detayı
Symantec ürün ailesinin tamamında çekirdek seviyesinde filtreleme için kullandığı sürücü (Kernel Filter Driver) aynı olması sebebiyle, bu sürücünün kullanıldığı tüm ürünler etkilenmektedir.

Zafiyetin kaynağı, sıkıştırılmış dosyaların incelenmek üzere açılması işleminin gerçekleştirildiği rutinlerdir. Sıkıştırılmış dosyaların açılması (unpack) işlemi yine aynı çekirdek seviyesinde çalışan sürücü tarafından gerçekleştirilmesi sebebiyle, zafiyetin suistimali saldırgana çekirdek seviyesinde kod çalıştırma veya bellek bozma imkanı tanımaktadır.

Zafiyet sebebi olan sıkıştırılmış dosya açma kütüphanelerinin açık kaynak kodlu projelerden alındığı (libmspack ve unrarsrc) ve güncellenmediği belirtilmektedir.

Zafiyet, herhangi bir kullanıcı etkileşimi gerektirmemektedir. E-posta ile gönderilen bir dosyanın henüz kullanıcı görüntülemese dahi anti-virüs tarafından incelenmesi sebebiyle, zafiyeti suistimal etmeyi amaçlayan özel bir e-posta eklentisi sayesinde sistem saldırıya uğrayabilmektedir.

Zafiyetin kullanıcı etkileşimi gerektirmemesi sebebiyle solucan (worm) için kullanılma riski bulunmaktadır. Bu sebeple tüm Symantec ürünlerinizin yama seviyelerini kontrol ederek mutlaka güncellemelerinizi yaptığınızdan emin olmanızı tavsiye ederiz.
Çözüm
Symantec zafiyetlere karşı koruma imzalarını yayınlamıştır. Uygulamalarınızın imzalarını güncelleyerek çekirdek filtresi için yapılacak sürüm güncellemesini takip etmeleri tavsiye edilmektedir.
Referans Bağlantılar

  • Symantec: https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
  • Google Project Zero : https://googleprojectzero.blogspot.com.tr/2016/06/how-to-compromise-enterprise-endpoint.html