Plusieurs vulnérabilités critiques dans les produits Symantec

Quelques semaines après avoir révélé une faille dangereuse dans les produits antivirus de Symantec, les équipes du projet Zéro de Google viennent de publier les détails d’une nouvelle série de vulnérabilités critiques affectant le moteur placé au cœur de l’ensemble de la gamme logicielle de l’éditeur – pour le grand public comme pour l’entreprise.

La gamme grand public Norton est susceptible de profiter déjà des correctifs grâce au service LiveUpdate de Symantec. Mais les produits entreprise peuvent nécessiter une intervention directe des administrateurs pour l’application des rustines. Les vulnérabilités signalées par Tavis Ormandy, chercheur au sein du projet Zéro de Google, peuvent être exploitées sans interaction de l’utilisateur. Elles rappellent d’ailleurs celles révélées le mois dernier. Déjà, les équipes de Google évoquaient une faille « aussi grave qu’il est possible de l’être ».

Et ce commentaire vaut également pour la nouvelle série de vulnérabilité, liée cette fois-ci à des logiciels libres. Dans un billet de blog, Tavis Ormandy précise que les vulnérabilités en question « affectent la configuration défaut, et le logiciel s’exécute avec le plus haut niveau de privilèges possible. Dans certains cas, sous Windows, le code vulnérable est même chargé dans le noyau ».

Le moteur antiviral de Symantec utilise un pilote qui intercepte les entrées/sorties du système, ce qui rend possible l’exploitation de la vulnérabilité simplement en envoyant un e-mail ou un lien à la cible. Aucune interaction de l’utilisateur n’est nécessaire : « la victime n’a pas besoin d’ouvrir le fichier ni d’interagir avec lui de quelque façon. Et puisqu’aucune interaction n’est nécessaire, il y a là de quoi créer des vers avec, potentiellement, des conséquences dévastatrices pour les clients Symantec et Norton ».

L’éditeur a reconnu ces vulnérabilités et propose des correctifs. Mais Tavis Ormandy ne cache pas son mécontentement à l’égard de certaines pratiques mises ici en évidence. Et cela concerne le Decomposer, un composant clé du moteur antiviral de Symantec, qui assure la décompression d’archives à examiner en s’exécutant… dans le noyau – « peut-être pas la meilleure idée ? », ironise Ormandy.

Surtout que ce module apparaît basé sur un code ouvert mais largement obsolète : « il est évident, lorsque l’on examine le code du Decomposer, que Symantec a basé la décompression RAR sur le package open source UnRAR de RAR Labs ». Las, « en comparant le code de Symantec avec celui du package open source, j’ai déterminé que l’éditeur utilise probablement la version 4.1.4 du code UnRAR, diffusée en janvier 2012. La version la plus récente est la 5.3.11 ».

Alors Ormandy estime avoir été « exceptionnellement généreux de considérer ce problème comme une nouvelle vulnérabilité et pas comme de l’information dûe au public. Franchement, je suis abasourdi que Symantec ne suive pas les nouvelles versions de codes tiers qu’il utilise ». Et de suggérer à l’éditeur de « saisir cette opportunité » pour se pencher de près sur l’ensemble des codes tiers qu’il utilise.