Участник проекта Google Project Zero Тавис Орманди обнаружил серию уязвимостей в приложениях компьютерной безопасности компании Symantec. Природа этих уязвимостей не даёт возможности закрыть их через автоматические обновления приложений. Орманди пишет, что их использование не требует участия пользователя, затрагивают приложения с настройками по умолчанию при максимально возможном уровне привилегий. При определённых раскладах в системе Windows уязвимый код загружается в ядро и приводит к повреждениям памяти. Уязвимый код затрагивает ASPack, пакет для анализа сканируемых файлов.
Ошибкой Symantec названа возможность запуска этого компонента в ядре операционной системы с высочайшим уровнем привилегий. Уязвимость этого компонента открывает путь к полному контролю над системой. Помимо главной уязвимости CVE-2016-2208 найдены ряд других, связанных с переполнением буфера и повреждением памяти.
Symantec использовала в своих приложениях общедоступные библиотеки, такие как libmspack и unrarsrc, но не обновляла их вот уже семь лет. Хакерам остаётся использовать их общеизвестные уязвимости - по словам Орманди, сделать это несложно. Нужно отправить письмо по электронной почте с вредоносным файлом или можно разместить код в сети и отправить ссылку на него.
Список пострадавших приложений состоит из множества старых продуктов Norton, Symantec Endpoint Protection, Symantec Email Security, Symantec Protection Engine, Symantec Protection for SharePoint Servers и других. Уязвимости являются кроссплатформенными. Symantec уже представила обновлённые версии приложений, закрыв в них данные уязвимости.