Разнообразные уязвимости, вскрытые исследователем безопасности Тейвисом Орманди, могли быть использованы злоумышленниками для дистанционного выполнения кода и создания других проблем при работе антивируса Sophos.

В антивирусном продукте поставщика средств защиты Sophos содержится целая серия дыр безопасности, которые обнаружил независимый исследователь. В ряде случаев эти дыры могут использоваться злоумышленниками для создания аварийных ситуаций или удаленного исполнения кода.

Тейвис Орманди, нашедший дефекты в антивирусе Sophos, направил 5 ноября соответствующее сообщение в список рассылки Full Disclosure и написал стать с детальным описанием уязвимостей.

Sophos проинформировала, что уже устранила большинство обнаруженных Орманди дефектов, а 28 ноября выпустит исправления по дополнительным вопросам.

"Sophos заявляет, что ее продукты работают в сфере здравоохранения, государственного управления, финансов и даже в военных ведомствах, — пишет Орманди, работающий инженером по безопасности в Google. — Хаос, который может создать в этих системах целенаправленно действующий злоумышленник, представляет собой поистине глобальную угрозу. Поэтому продукты Sophos можно использовать только в малоценных, некритических системах, и их никогда не следует развертывать в сетях или средах, представляющих интерес для злоумышленников".

"В статье приводится работающий пример эксплойта типа pre-authentication remote root, который не нуждается в итерациях и в течение нескольких дней может превратиться в червя. Я бы посоветовал администраторам, использующим продукты Sophos, срочно изучить мои результаты и выполнить мои рекомендации", — предупреждает Орманди.

"Действующий эксплойт написан для Sophos 8.0.6 на Mac; однако использованные в нем приемы легко переносятся в Windows и Linux благодаря наличию многочисленных критических дефектов реализации ПО, описанных в статье", — добавил Орманди.

Орманди пояснил, что отчет и его комментарии выражают его личное мнение и не отражают мнения Google. Пока что Sophos не замечала реальных случаев использования каких-либо уязвимостей ее ПО.

Обнаружены следующие уязвимости: возможность дистанционного выполнения кода, связанная с тем, как антивирус Sophos сканирует аномальные файлы, скомпилированные в Visual Basic 6; страница извещения о блокировке опасного сайта на базе Sophos Web protection and Web control Layered Service Provider (LSP) содержит уязвимость межсайтового скриптинга; проблема, связанная с технологией защиты от переполнения буфера (BOPS) в Sophos Anti-Virus for Windows.

Орманди также выявил проблемы в характере взаимодействия движка Sophos с ASLR (рандомизация структуры адресного пространства) в ОС Windows, начиная с Vista; проблему в способе взаимодействия защиты Sophos с защищенным режимом Internet Explorer; и уязвимости, связанные с обработкой антивирусным движком Sophos аномальных файлов CAB- (Microsoft Windows Cabinet) и RAR-архивов.

Кроме того, Орманди нашел уязвимость дистанционного выполнения кода в способе, которым ПО Sophos сканирует аномальные PDF-файлы. Он также привел примеры других аномальных файлов (сейчас их исследуют специалисты Sophos), которые могут стопорить работу антивирусного ПО.

По исследуемым файлам Sophos 28 ноября выпустит исправление своего ПО.

Sophos в своем блоге Naked Security поблагодарила Орманди за его работу и за то, что он оповестил компанию о дефектах ПО до открытой публикации своих исследований.

"В силу своего профиля Sophos считает главной обязанностью компании обеспечивать безопасность пользователей. Поэтому специалисты Sophos исследуют все сообщения об уязвимостях и в кратчайшие сроки принимают все необходимые меры", — заявила компания.

"Работа Тейвиса Орманди и других представителей исследовательского сообщества, которые трудятся бок о бок с поставщиками средств безопасности, позволяет значительно усиливать программные продукты. От имени своих партнеров и пользователей Sophos благодарит Тейвиса Орманди за его труды и ответственный подход к делу", — отметила Sophos.