Rafel Ivgi сообщает об обнаружении уязвимости в популярном антивирусном ПО от Symantec - Norton AntiVirus 2004. Одна из динамических библиотек, инсталлируемых этим антивирусом, "ccErrDsp.dll" (инсталлируется в C:Program FilesCommon FilesSymantec Shared) регистрирует в системе COM (Component Object Model) - объект "CcErrDsp.ErrorDisplay.1". После того, как AntiVirus 2004 был использован, этот объект может быть создан как локально, так и удалённо (например, при помощи такой конструкции - Set symkiller = CreateObject("CcErrDsp.ErrorDisplay.1" )). При исследовании этого объекта Rafel обнаружил уязвимость в параметре "sProduct" функции "DisplayError" этого объекта. Задав большое значение этого параметра (например, передав строку вида 'A'>521950), можно вызвать переполнение буфера в стеке. Автор приводит пример кода, который, будучи выполнен при посещении определённой Вэб-страницы, вызовет отказ в работе антивируса. Как сообщил представитель Symantec, в настоящее время компания исследует уязвимость и работает над исправлением.
Описание уязвимости