Project Zero รายงานถึงช่องโหว่ของซอฟต์แวร์ความปลอดภัยของ Symantec หลายตัว ตั้งแต่กลางเดือนที่แล้ว ตอนนี้ Tavis Ormandy นักวิจัยของ Project Zero ก็ออกมาอธิบายรายละเอียดช่องโหว่นี้

ช่องโหว่สำคัญคือ CVE-2016-2208 เป็นช่องโหว่ของตัวขยายไฟล์บีบอัด ASPack ที่ซอฟต์แวร์ตรวจไวรัสต้องใช้งานเพราะไวรัสหรือมัลแวร์มักบีบอัดตัวเองเพื่อหลบการตรวจสอบ โค้ด ASPack รันด้วยสิทธิ root บนเครื่องลินุกซ์และแมค ขณะที่บนวินโดวส์มันทำงานในเคอร์เนลโดยตรง แฮกเกอร์สามารถส่งโค้ดเข้าไปรันบนเครื่องเป้าหมายด้วยช่องโหว่นี้ได้

ฟิลเตอร์ตรวจไวรัสของ Symantec จะตรวจสอบข้อมูลผ่าน I/O ทั้งหมดของระบบ การส่งไฟล์เข้าไปถึงเครื่องเป้าหมายก็จะสามารถรันโค้ดได้ทันทีโดยผู้ใช้ไม่ต้องสั่งเปิดไฟล์ใดๆ ทั้งสิ้น ในแง่ของลูกค้าองค์กร เซิร์ฟเวอร์ที่ได้รับอีเมลมัลแวร์ก็อาจจะถูกโจมตีได้โดยง่าย

อีกช่องโหว่หนึ่งคือระบบ Bloodhound Heuristics ที่ต้องตั้งโหมดนี้เป็น Aggressive ก่อนจึงจะโจมตีได้ แต่จากการสำรวจช่องโหว่นี้ก็พบว่าโค้ดได้มาจากโครงการโอเพนซอร์สอย่าง libmspack และ unrarsrc และโค้ดไม่ได้อัพเดตมานานหลายปี

ทาง Project Zero ระบุว่าบริษัทพัฒนาซอฟต์แวร์ป้องกันไวรัสเองก็ต้องมีระบบจัดการช่องโหว่เช่นเดียวกับผู้พัฒนาซอฟต์แวร์อื่นๆ มีการมอนิเตอร์อัพเดตของซอฟต์แวร์ภายนอกที่นำมาใช้งานด้วยเช่นกัน

ที่มา - Project Zero