Google Project Zero a découvert des failles de sécurité dans les solutions de sécurité de Symantec, y compris dans les produits Norton Software et Endpoint Protection.
Les chercheurs de l’entreprise de sécurité Symantec sont connus pour découvrir des failles de sécurité dans les systèmes d’exploitation et les applications. On pourrait donc logiquement s’attendre à ce que les solutions de sécurité proposées par l’entreprise soient au-dessus de tout soupçon. Ce n’est malheureusement pas le cas.
L’équipe du Google Project Zero a en effet découvert plusieurs failles de sécurité dans plusieurs logiciels proposés par Symantec, y compris dans la populaire gamme Norton à destination du grand public, ainsi que dans les solutions pour entreprises Endpoint Protection. Cette découverte est particulièrement inquiétante vu que certaines vulnérabilités sont critiques, certaines permettant même l’exécution de code à distance. « Ces vulnérabilités sont aussi mauvaises qu’elles paraissent. Elles ne nécessitent aucune intervention de l’utilisateur, elles affectent la configuration par défaut et le logiciel s’exécute avec les plus hauts niveaux de privilège possible. Dans certains cas sous Windows, le code vulnérable est même chargé dans le noyau, ce qui entraîne la corruption de la mémoire du noyau distant », expliquent les chercheurs.
Étant donné que Symantec utilise le même moteur pour l’ensemble de sa gamme de solutions de sécurité, tous les antivirus des marques Symantec et Norton sont concernés par ces failles. Cela comprend Norton Security, Norton 360, Symantec Endpoint Projection, Symantec Email Security, etc. De plus, tous les produits ne peuvent pas être mis automatiquement à jour pour corriger les vulnérabilités. « Les administrateurs doivent prendre immédiatement des mesures pour protéger leurs réseaux », préviennent les chercheurs du Google Project Zero.
Même les solutions de sécurité ne sont pas à l’abri des failles de sécurité
Il est surprenant de trouver plusieurs vulnérabilités critiques dans des produits censés assurer la sécurité des systèmes. Dans certains cas, c’est simplement une certaine paresse qui est à blâmer. L’équipe du Project Zero fait remarquer que Symantec a « négligé » la gestion des vulnérabilités des logiciels tiers utilisés dans ses produits. « Un coup d’œil à la bibliothèque de composants fournie par Symantec a montré qu’ils utilisaient du code en provenance de bibliothèques open source, comme libmspack et unrarsrc. Mais ils ne les ont jamais mis à jour en au moins sept ans ». « Des douzaines de vulnérabilités publiques de ces librairies affectent Symantec, certaines avec des exploits publics », précise encore Google Project Zero.
La bonne nouvelle pour tous les utilisateurs de produits Symantec, c’est que l’éditeur a été réactif aux découvertes du Google Projet Zero. Plusieurs avis et propose d’ores et déjà des correctifs.