Symantec Endpoint Protectionに権限昇格や任意コード実行などが可能となる複数の脆弱性 10
ストーリー by headless
昇格 部門より
昇格 部門より
Symantecは17日、同社の企業向けセキュリティ製品「Symantec Endpoint Protection (SEP) 12.1」で複数の脆弱性が発見されたとして、セキュリティアドバイザリを公開した(Symantec Security Responseの記事、
V3.co.ukの記事)。
発見された脆弱性は以下の3件で、現在のところいずれの脆弱性も悪用は確認されていないとのこと。Symantecでは最新版のSEP 12.1-RU6-MP4への更新を呼び掛けている。
発見された脆弱性は以下の3件で、現在のところいずれの脆弱性も悪用は確認されていないとのこと。Symantecでは最新版のSEP 12.1-RU6-MP4への更新を呼び掛けている。
- CVE-2015-8152: Symantec Endpoint Protection Manager(SEPM)のCSRF脆弱性によりリモートユーザーが権限昇格し、ロギングスクリプトを利用して任意のコード実行が可能となる
- CVE-2015-8153: SEPMのSQLインジェクション脆弱性によりリモートユーザーが権限昇格し、任意のSQLコマンド実行が可能となる
- CVE-2015-8154: SEPクライアントでApplication and Device Control (ADC)の一部として読み込まれるSysPlant.sysドライバーの脆弱性。Webサイトや電子メールで悪意のあるリンクやドキュメントにアクセスさせることで、ログオンしているユーザーの権限で任意のコード実行が可能となる。ADCを使用していない場合は影響を受けない
標的型攻撃対策ソフトか (スコア:1)
しかしFFRIは投資家に遊ばれて個人向けでひどく迷走している印象。
Mr.Fな、ずいぶんプロモーション頑張っているようだが、あの価格では一般人は買わないだろう。
しかもなんでWindows DefenderかMicrosoft Security Essentialsとしか併用できない仕様 [www.ffri.jp]なんだ。FFR yaraiでは他AVと共存できる [www.ffri.jp]んだから、意図的にやってるよね。
せめてESET Smart Securityと併用できれば、少なくともわたしは買うんだけどな(最近はWindows Defenderが健闘しているらしい [security.srad.jp]けど)。
他になにか個人で使えるいい選択肢ないかな…あ、ディフェンスプラットフォーム [hummingheads.co.jp](DeP)以外で。
Re:標的型攻撃対策ソフトか (スコア:1)
Mr.Fは愛称だった。正式名称は「FFRI プロアクティブ セキュリティ」。
FFRI 曰く、 [eir-parts.net]
FFRI プロアクティブ セキュリティ(製品愛称:Mr.F)
Re: (スコア:0)
Symantec Endpoint ProtectionはFFR yaraiとかのように標的型のビヘイビア検知に特化しているわけではないですよ
あくまで従来のパターンファイルベースの統合型アンチウイルスソフトです
最近は企業向けのエンドポイント向けセキュリティ製品が「多層防御」の御旗の元に機能的にfatになってきていて
その流れでSEPは振る舞い検知も搭載しているという感じです
SEP以外にもウイルスバスターのコーポレート版 [trendmicro.co.jp]もESETのコーポレート版 [canon-its.jp]もおんなじような感じですね
Re: (スコア:0)
そして、それら製品にセキュリティホールが有る上に、対処が遅いのも良く有る事だったり。
# BoFのような基礎的不具合から、外部から社内で管理してるパターンやポリシーを取得可能なだけでも管理パスワードや標的型ウィルスを通過できるか事前チェック出来るみたいな仕様系バグまで。
Re: (スコア:0)
セキュリティってどこも重視しているくせに性能や信頼性は二の次で惰性と企業名だけでソフトを選択してる会社が多い気がする
日本だけかもしれないけど
Re: (スコア:0)
Googleが見つけた脆弱性を対策しないまま期限切れで公開される他企業と比べてしまうと、今回の対応はとても良いように思えてしまう。
対策が分からない (スコア:0)
現在のSEPのバージョンを確認しようとしたところ、
Common Client 12.12.0.15
Live Update 2.3.1.7
SymEvent 12.9.6.12
Auto-Protectカーネルドライバ 14.6.3.35
Auto-Protectユーザーモードインターフェース 14.6.3.37
分解エンジン 2.3.3.2
Power Eraserエンジン 5.1.0.5
消去エンジン 115.2.0.111
侵入防止フレームワーク 12.4.0.11
侵入防止エンジン 15.0.2.19
そして全てコピー不可というとんでもないUI。
対策とらせる気があるのかないのか。
Re:対策が分からない (スコア:1)
# ちなみにダイアログ ボックスの場合、Ctrl + Cで普通にコピーできてしまうことも多い
Re: (スコア:0)
単にライブアップデートすればいいだけじゃね?
Re: (スコア:0)
> 対策とらせる気があるのかないのか。
「ぼくのかんがえたさいきょうのセキュリティ」を地で行って安全性を平気で低下させたりする企業ですよ?
そんなの有るわけないじゃないですか。話題になったからしぶしぶ対応しただけかと。
Refererを意図的に消してCSRFバッチコイ状態作ったり、
Symantecの製品を入れることで脆弱性が増える案件ってこれで幾つ目だよほんともう…