パスワードを忘れた? アカウント作成
12724458 story
バグ

Symantec Endpoint Protectionに権限昇格や任意コード実行などが可能となる複数の脆弱性 10

ストーリー by headless
昇格 部門より
Symantecは17日、同社の企業向けセキュリティ製品「Symantec Endpoint Protection (SEP) 12.1」で複数の脆弱性が発見されたとして、セキュリティアドバイザリを公開した(Symantec Security Responseの記事V3.co.ukの記事)。

発見された脆弱性は以下の3件で、現在のところいずれの脆弱性も悪用は確認されていないとのこと。Symantecでは最新版のSEP 12.1-RU6-MP4への更新を呼び掛けている。
  • CVE-2015-8152: Symantec Endpoint Protection Manager(SEPM)のCSRF脆弱性によりリモートユーザーが権限昇格し、ロギングスクリプトを利用して任意のコード実行が可能となる
  • CVE-2015-8153: SEPMのSQLインジェクション脆弱性によりリモートユーザーが権限昇格し、任意のSQLコマンド実行が可能となる
  • CVE-2015-8154: SEPクライアントでApplication and Device Control (ADC)の一部として読み込まれるSysPlant.sysドライバーの脆弱性。Webサイトや電子メールで悪意のあるリンクやドキュメントにアクセスさせることで、ログオンしているユーザーの権限で任意のコード実行が可能となる。ADCを使用していない場合は影響を受けない
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • FFR yarai [www.ffri.jp]とか、Zerona [soliton.co.jp]とか、Traps [paloaltonetworks.jp]とか、最近この分野は熱いですねえ。

    しかしFFRIは投資家に遊ばれて個人向けでひどく迷走している印象。
    Mr.Fな、ずいぶんプロモーション頑張っているようだが、あの価格では一般人は買わないだろう。
    しかもなんでWindows DefenderかMicrosoft Security Essentialsとしか併用できない仕様 [www.ffri.jp]なんだ。FFR yaraiでは他AVと共存できる [www.ffri.jp]んだから、意図的にやってるよね。
    せめてESET Smart Securityと併用できれば、少なくともわたしは買うんだけどな(最近はWindows Defenderが健闘しているらしい [security.srad.jp]けど)。

    他になにか個人で使えるいい選択肢ないかな…あ、ディフェンスプラットフォーム [hummingheads.co.jp](DeP)以外で。
    • 補足
      Mr.Fは愛称だった。正式名称は「FFRI プロアクティブ セキュリティ」。

      FFRI 曰く、 [eir-parts.net]

      FFRI プロアクティブ セキュリティ(製品愛称:Mr.F)

      親コメント
    • by Anonymous Coward

      Symantec Endpoint ProtectionはFFR yaraiとかのように標的型のビヘイビア検知に特化しているわけではないですよ
      あくまで従来のパターンファイルベースの統合型アンチウイルスソフトです

      最近は企業向けのエンドポイント向けセキュリティ製品が「多層防御」の御旗の元に機能的にfatになってきていて
      その流れでSEPは振る舞い検知搭載しているという感じです

      SEP以外にもウイルスバスターのコーポレート版 [trendmicro.co.jp]もESETのコーポレート版 [canon-its.jp]もおんなじような感じですね

      • by Anonymous Coward

        そして、それら製品にセキュリティホールが有る上に、対処が遅いのも良く有る事だったり。

        # BoFのような基礎的不具合から、外部から社内で管理してるパターンやポリシーを取得可能なだけでも管理パスワードや標的型ウィルスを通過できるか事前チェック出来るみたいな仕様系バグまで。

        • by Anonymous Coward

          セキュリティってどこも重視しているくせに性能や信頼性は二の次で惰性と企業名だけでソフトを選択してる会社が多い気がする
          日本だけかもしれないけど

        • by Anonymous Coward

          Googleが見つけた脆弱性を対策しないまま期限切れで公開される他企業と比べてしまうと、今回の対応はとても良いように思えてしまう。

  • by Anonymous Coward on 2016年03月22日 14時08分 (#2984487)

    現在のSEPのバージョンを確認しようとしたところ、

    Common Client 12.12.0.15
    Live Update 2.3.1.7
    SymEvent 12.9.6.12
    Auto-Protectカーネルドライバ 14.6.3.35
    Auto-Protectユーザーモードインターフェース 14.6.3.37
    分解エンジン 2.3.3.2
    Power Eraserエンジン 5.1.0.5
    消去エンジン 115.2.0.111
    侵入防止フレームワーク 12.4.0.11
    侵入防止エンジン 15.0.2.19

    そして全てコピー不可というとんでもないUI。
    対策とらせる気があるのかないのか。

    • by caret (47533) on 2016年03月24日 23時06分 (#2985944) 日記
      コピーできない文字列をコピーしたいときは、GetWindowText [softwareok.com]というアプリが役に立ちます。必ず、とは限りませんが。

      # ちなみにダイアログ ボックスの場合、Ctrl + Cで普通にコピーできてしまうことも多い
      親コメント
    • by Anonymous Coward

      単にライブアップデートすればいいだけじゃね?

    • by Anonymous Coward

      > 対策とらせる気があるのかないのか。
      「ぼくのかんがえたさいきょうのセキュリティ」を地で行って安全性を平気で低下させたりする企業ですよ?
      そんなの有るわけないじゃないですか。話題になったからしぶしぶ対応しただけかと。
      Refererを意図的に消してCSRFバッチコイ状態作ったり、
      Symantecの製品を入れることで脆弱性が増える案件ってこれで幾つ目だよほんともう…

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...