研究人员发现Sophos防病毒产品存在严重漏洞

研究人员说,Sophos 防毒软件 仅应用于低价值的非关键系统。

安全研究员Tavis Ormandy发现了总部位于英国的安全公司Sophos开发的防病毒产品中的关键漏洞,并建议组织避免在关键系统上使用该产品,除非供应商改善其产品开发,质量保证和安全响应实践。

担任Google信息安全工程师的Ormandy透露了有关他在以下网站中发现的漏洞的详细信息 研究论文 标题为“ Sophail:针对Sophos 防毒软件 的应用攻击”的文章于周一发布。奥曼迪指出,这项研究是在业余时间进行的,论文中表达的观点是他自己的观点,而不是雇主的观点。

本文包含有关Sophos防病毒代码中负责解析Visual Basic 6,PDF,CAB和RAR文件的几个漏洞的详细信息。其中一些缺陷可能会受到远程攻击,并可能导致系统上执行任意代码。

Ormandy甚至包括针对PDF解析漏洞的概念验证漏洞,他声称该漏洞无需用户交互,无需身份验证,并且可以轻松转换为自传播蠕虫。

研究人员为Mac版本的Sophos防病毒程序构建了漏洞利用程序,但指出该漏洞也影响该产品的Windows和Linux版本,并且可以轻松将漏洞利用程序转换为这些平台。

Ormandy在论文中说,仅通过在Outlook或Mail.app中接收电子邮件即可利用PDF解析漏洞。由于Sophos 防毒软件 自动拦截输入和输出(I / O)操作,因此甚至不必打开或阅读电子邮件。

Ormandy说:“对于全球网络蠕虫而言,最现实的攻击情形是通过电子邮件进行自我传播。” “无需用户与电子邮件进行交互,因为该漏洞将被自动利用。”

但是,其他攻击方法也是可能的-例如,通过打开攻击者提供的任何类型的文件;研究人员说,访问URL(甚至在沙盒浏览器中),或使用MIME cid嵌入图像:URL到在Webmail客户端中打开的电子邮件中。攻击者可以使用任何引起I / O的方法来利用此漏洞。

Ormandy还发现与Sophos防病毒软件捆绑在一起的名为“缓冲区溢出保护系统”(BOPS)的组件在默认情况下(包括Vista和更高版本)在所有支持该功能的Windows版本上均禁用了ASLR(地址空间布局随机化)漏洞利用缓解功能。

Ormandy说:“像这样在整个系统范围内禁用ASLR完全是不可原谅的,特别是为了向功能上比Microsoft提供的功能更差的客户销售天真的替代产品。”

研究人员说,Sophos防病毒软件为Internet Explorer安装了一个网站黑名单组件,取消了浏览器“保护模式”功能所提供的保护。此外,黑名单组件用于显示警告的模板引入了一个通用的跨站点脚本漏洞,该漏洞使浏览器的“同源策略”失效。

Ormandy说,“同源策略”是“使互联网能够安全使用的基本安全机制之一”。 “在废除相同来源策略的情况下,恶意网站可以与您的邮件,Intranet系统,注册服务商,银行和工资系统等进行交互。”

Ormandy在整篇文章中的评论表明,在产品开发和质量保证过程中应该已经捕获了许多此类漏洞。

研究人员事先与Sophos共享了他的发现,该公司针对该文件中披露的漏洞发布了安全修复程序。该公司周一在一份声明中说,其中一些修复程序于10月22日推出,而其他修复程序于11月5日发布。 博客文章 .

Ormandy通过模糊测试(安全测试方法)仍然发现了一些潜在的可利用问题,这些问题已与Sophos共享,但未公开披露。该公司表示,正在研究这些问题,并将于11月28日开始推出修复程序。

Sophos说:“作为安全公司,确保客户安全是Sophos的主要责任。” “结果,Sophos专家调查了所有漏洞报告,并在尽可能最短的时间内实施了最佳的操作方案。”

Sophos的高级技术顾问Graham Cluley周二通过电子邮件说:“ Sophos能够在几周之内提供整套修复程序,而又不会打扰客户的正常运营,这是一个好习惯。 “我们感谢Tavis Ormandy发现了这些漏洞,因为这有助于使Sophos的产品变得更好。”

但是,Ormandy对Sophos花时间修补他报告的关键漏洞并不满意。他说,这些问题已于9月10日报告给公司。

Ormandy说:“为了尽早获得这份报告,Sophos确实分配了一些资源来解决所讨论的问题,但是显然他们装备不足,无法处理一位合作的,非对抗性的安全研究人员的产出。” “成熟的政府资助或积极主动的攻击者可以轻松摧毁整个Sophos用户群。”

研究人员说:“ Sophos声称他们的产品已部署在医疗保健,政府,金融甚至军队中。” “有动机的攻击者可能对这些系统造成的混乱是现实的全球威胁。因此,Sophos产品仅应考虑用于低价值的非关键系统,并且绝不能部署在对手会完全破坏的网络或环境中不便。”

Ormandy的论文包含描述最佳实践的部分,并包括研究人员对Sophos客户的建议,例如实施应急计划,使他们能够在短时间内禁用Sophos防病毒软件。

他说:“ Sophos根本无法做出足够快的反应来阻止攻击,即使出现有效的利用程序也是如此。” “如果攻击者选择使用Sophos 防毒软件 作为进入网络的渠道,Sophos将无法在一段时间内阻止其继续入侵,并且如果您选择继续部署Sophos,则必须实施应急计划来处理这种情况。”

版权 © 2012 IDG通讯 ,Inc.