【轉貼】Norton AntiVirus異常檔類型郵件保護可繞過漏洞

[giogio2000]

文件名稱：Norton AntiVirus異常檔類型郵件保護可繞過漏洞
文件作者：tek
登錄時間：2002-03-18 08:45:50 - BY [tek]
--------------------------------------------------------------------------------
Symantec Norton AntiVirus異常檔類型郵件保護可繞過漏洞 發佈日期: 2002-3-7更新日期: 2002-3-8 受影響的系統: Symantec Norton AntiVirus 2002 - Microsoft Windows XP Professional - Microsoft Windows XP Home - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 SP4 - Microsoft Windows NT 4.0 SP3 - Microsoft Windows NT 4.0 SP2 - Microsoft Windows NT 4.0 SP1 - Microsoft Windows NT 4.0 - Microsoft Windows ME - Microsoft Windows 98 - Microsoft Windows 2000 SP2 - Microsoft Windows 2000 SP1 - Microsoft Windows 2000 不受影響系統: 描述: ------------------------------------------------- BUGTRAQ ID: 4245 Symantec Norton AntiVirus 2002是一款流行的反病毒程式，支援對郵件系統進行掃描保護。 Symantec Norton AntiVirus 2002在處理不包含的檔類型時候存在漏洞，可以導致郵件保護功能被繞過。 Symantec Norton AntiVirus 2002默認情況下不包含.nch和.dbx結尾的擴展檔，也就是說不能正常處理這兩類檔類型，攻擊者可以通過把夾帶包含病毒的檔重命名為.nch或者.dbx副檔名結尾檔併發送給目標用戶，Symantec Norton AntiVirus 2002將不會對此類檔進行掃描探測，而Windows中的應用程式可以認識此檔並且被執行。 <*來源：Edvice Security Services （[email protected]） 鏈結：http://archives.neohapsis.com/archives/bugtraq/2002-03/0065.html http://archives.neohapsis.com/archiv...2-03/0085.html *> 測試程式： -------------------------------------------------------------------------------- 警 告 以下程式(方法)可能帶有攻擊性，僅供安全研究與教學之用。使用者風險自負！ Edvice Security Services （[email protected]）提供了如下測試方法： 使用如下嵌入巨集病毒的WORD檔類型的郵件資訊，可導致繞過Symantec Norton AntiVirus的郵件保護： Content-Type: application/msword; name=\"Virus.nch\" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=\"Virus.doc\" -------------------------------------------------------------------------------- 建議: 臨時解決方法： 如果您不能立刻安裝補丁或者升級，NSFOCUS建議您採取以下措施以降低威脅： * Symantec聲稱Symantec Norton AntiVirus 2002的'Auto Protect'功能會在檔執行的時候被掃描，另外'Script Blocking'特徵也會進一步阻止任意惡意代碼在系統中的執行。 廠商補丁： Symantec -------- Symantec建議用戶採用如下措施來加強系統的保護： 1，儘量保持供應商補丁的跟進。 2，對EMAIL中的附件和可執行檔保持警惕狀態。 3，不要執行來源不清的附件或者可執行檔。 Symantec將會很快提供升級程式，並通過LiveUpdate發行。

原文來自
http://fetag.dhs.org/pshowdoc.php?no...-18%2008:45:50