Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire
  • Élévation de privilèges

Systèmes affectés

  • Symantec AntiVirus Corporate Edition 8.1 ;
  • Symantec AntiVirus Corporate Edition pour la version 9.0.3 ainsi que celles antérieures ;
  • Symantec Client Security pour la version 2.0.3 ainsi que celles antérieures.
  • Symantec Client Security version 1.1 ;

Résumé

Une vulnérabilité a été identifiée dans certains produits de sécurité Symantec. Une personne malveillante locale au système pourrait exploiter celle-ci pour élever ses droits à ceux de l'administrateur, voire exécuter des commandes arbitraires sur la machine ayant une version vulnérable.

Description

Une vulnérabilité a été identifiée dans certains produits de sécurité Symantec. Elle provient d'un pilote particulier, SAVRT.SYS, installé par défaut.

Une application particulière dans les produits communique avec les pilotes : DeviceIOControl. Le pilote ne verifierait pas correctement un espace d'adressage au cours de la communication avec cette dernière.

La vulnérabilité pourrait donc être exploitée par une personne locale au système, qui enverrait des données spécifiques via la fonction DeviceIOControl(). Cela lui permettrait d'élever ses droits à ceux de l'administrateur, voire exécuter des commandes arbitraires sur la machine ayant une version vulnérable.

Solution

Se référer au bulletin de sécurité SYM06-022 de l'éditeur Symantec pour l'obtention des correctifs (cf. section Documentation).

Documentation