Symantec schließt Lücke in Norton Remove and Reinstall

Symantec hat ein Update für Norton Remove and Reinstall zur Verfügung gestellt. Mit Version 4.4.0.58 wird die Sicherheitslücke mit der Kennung CVE-2017-13676 geschlossen. Sie kann von einem lokalen, einfach authentifizierten Angreifer mittels entsprechend präparierten DLL-Bibliotheken ausgenutzt werden. Ursache ist eine unzureichende Validierung dieser Bibliotheken.

Norton Remove and Reinstall dient dazu, Verknüpfungen und Daten installierter Norton-Sicherheitsprodukte zu löschen und anschließend eine Neuinstallation mit der aktuellsten Softwareversion vorzunehmen. Das BSI ordnet der Sicherheitslücke die Risikostufe 3 zu. Symantec stuft die Sicherheitslücke in seinem Advisory als mittelschwer ein. Entdeckt wurde die Lücke von Kushal Arvind Shah, einem Mitarbeiter der zu Fortinet gehörenden FortiGuard Labs.

Das Update auf die fehlerbereinigte Version steht seit 22. September zur Verfügung. Die Schwachstelle wurde am 26. September öffentlich gemacht. Symantec liegen bislang keine Hinweise vor, dass sie zuvor von Angreifern ausgenutzt wurde.

Ob und wie sich die Lücke ausnutzen lässt, hängt auch davon ab, wie Norton Remove and Reinstall konfiguriert ist und welchem Dateipfad es folgt, um DLL-Bibliotheken aufzurufen. Angreifer können dort dann die präparierte Datei hinzufügen oder eine bereits vorhanden überschreiben. Gelingt ihnen das, wird ihre DLL mit den Rechten des Dienstes ausgeführt.