Tavis Ormandy a de nouveau frappé, et ça fait mal. Dans une note de blog, le chercheur en sécurité de Google Project Zero vient d’épingler une nouvelle fois les logiciels de sécurité de Symantec. Il vient de rendre public sept nouvelles failles critiques qui impactent tous les produits de l’éditeur, qu’ils soient destinés au grand public (Norton) ou aux entreprises (EndPoint Protection, Scan Engine, …).
« On peut difficilement faire pire que ces failles. Elles ne nécessitent aucune interaction de l’utilisateur, affectent la configuration d’origine et permettent d’obtenir le plus haut niveau de privilège d’exécution. Dans certains cas, sur Windows, le code vulnérable impacte même le noyau », estime Tavis Ormandy, ajoutant que plusieurs de ces failles peuvent être utilisées pour créer des vers informatiques, ce qui est particulièrement dangereux. En mai dernier, l’ingénieur de Google avait déjà publié une première palanquée de failles critiques dans les logiciels Symantec.
Un processus de développement négligent
Parmi les nouvelles failles trouvées, M. Ormandy en détaille une liée à l’analyse de documents PowerPoint (CVE-2016-2209). Il montre, code source à l’appui, comment un dépassement de mémoire tampon dans cette fonctionnalité permet à un pirate d’exécuter du code arbitraire sur le système avec les droits d’administrateur.
Le chercheur critique également la gestion du développement logiciel chez Symantec. Selon lui, l’éditeur a intégré des librairies open source dans ses produits sans le mettre à jour depuis… sept ans ! « Des douzaines de vulnérabilités publiques dans ces librairies impactent les produits de Symantec. Pour certains d’entre elles, il existe même des codes d’exploitation publics », souligne-t-il.
Son conseil est simple : il faut en permanence vérifier que les logiciels tiers n’ont pas de vulnérabilités et qu’ils sont mis à jour. « Personne n’a envie de faire ça, mais cela doit faire intégralement partie d’un processus de développement sécurisé », ajoute-t-il. Symantec est visiblement assez loin d’un tel standard de qualité, ce qui est un comble pour un éditeur spécialisé en sécurité !
La bonne nouvelle, c’est que Symantec a publié des patches pour l’ensemble de ces failles. Les plupart des produits Norton, en particulier, seront mis à jour automatiquement par le système LiveUpdate. Pour Norton Bootable Removal Tool, il faudra télécharger manuellement la nouvelle version. En revanche, aucune mise à jour n’est disponible pour l’instant pour Norton Security for Mac.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.