Thema: Norton diverses ...

[SiLæncer]

Symantecs Norton Antivirus übersieht unter Umständen Schädlinge auf dem System, wenn diese sich in Dateien verstecken, die einen reservierten DOS-Gerätenamen tragen, beispielsweise COM1, CON oder LPT1. Ursprünglich war es unter DOS und Windows 3.x nicht möglich, derartige Dateien anzulegen. Mittlerweile gibt es aber verschiedene Wege, dies doch zu tun. Norton Antivirus überprüft aber weder beim On-Access- noch beim On-Demand-Scan Dateien und Verzeichnisse mit solchen Namen. Nach Angaben von Symantec funktioniert das Scannen von Dateianhängen in E-Mails weiterhin korrekt, auch wenn diese nach einem DOS-Gerät benannt sind.  
 

Betroffen sind Norton Antivirus 2003, 2004 und 2005. Der Hersteller hat für NAV 2004 einen Fix entwickelt, der schon über LiveUpdate verfügbar ist. Für die anderen Versionen wird der Fix noch getestet und später ebenfalls per LiveUpdate bereitgestellt. Entdeckt hat den Fehler der Sicherheitsdienstleister iDEFENSE, der schon im September auf das gleiche Problem bei Produkten der Herstellers Sophos hinwies.

Quelle : www.heise.de

[xxx]

hai

Norton Antivirus ist bestimmt nicht schlecht aber Kaspersky ist für mich die bessere wahl. Kann ich nur empfählen, der bietet schon stündlich Updates.

[Jürgen]

Der LiveUpdate-Fix für NAV 2004 hat sich hier auch noch nicht blicken lassen, seit Wochen nur Viren-Updates

[SiLæncer]

Symantec warnt vor einer kritischen Sicherheitslücke in älteren Versionen seiner Produkte. Angreifer können beispielsweise mit präparierten Dateianhängen in E-Mails auf Antiviren-Gateways und Endsystemen einen Heap-basierten Buffer Overflow provozieren, um Code auf das System zu schleusen und automatisch auszuführen. Prinzipiell funktioniert der Angriff auch über http und ftp, allerdings muss der Anwender hier den Download einer Datei selbst anstoßen.

Ursache des Problems ist das Modul DEC2EXE in Symantecs Antivirus-Library zum Parsen von mit UPX (Ultimate Packer for eXecuteables) gepackten Dateien. Insbesondere viele Würmer und Viren sind in diesem Format komprimiert. Beim Auspacken präparierter UPX-Files überprüft das Modul einen Offset im Header ausführbarer Dateien nicht richtig, sodass sich mit negativen Werten der Speicher mit Code überschreiben lässt.

Betroffen sind:

Symantec Norton Antivirus 2004 for Windows
Symantec Norton Internet Security 2004 (pro) for Windows
Symantec Norton System Works 2004 for Windows
Symantec Norton Antivirus 2004 for Macintosh
Symantec Norton Internet Security 2004 for Macintosh
Symantec Norton System Works 2004 for Macintosh
Symantec Norton Antivirus 9.0 for Macintosh
Symantec Norton Internet Security for Macintosh 3.0
Symantec Norton System Works for Macintosh 3.0
Norton AntiVirus for Microsoft Exchange 2.1 vor Build 2.18.85
Symantec Mail Security for Microsoft Exchange 4.0 vor Build 4.0.10.465
Symantec Mail Security for Microsoft Exchange 4.5 vor Build 4.5.3
Symantec AntiVirus/Filtering for Domino NT 3.1 vor Build 3.1.1
Symantec Mail Security for Domino 4.0 vor Build 4.0.1
Symantec AntiVirus/Filtering for Domino Ports 3.0
   (AIX)   vor Build 3.0.6
   (OS400, Linux, Solaris) vor Build 3.0.7
Symantec AntiVirus Scan Engine 4.3 vor Build 4.3.3
Symantec AntiVirus for Network Attached Storage   vor Build 4.3.3
Symantec AntiVirus for Caching vor Build 4.3.3
Symantec AntiVirus for SMTP 3.1 vor Build 3.1.7
Symantec Mail Security for SMTP 4.0 vor Build 4.0.2
Symantec Web Security 3.0 vor Build 3.0.1.70
Symantec BrightMail AntiSpam 4.0
Symantec BrightMail AntiSpam 5.5
Symantec AntiVirus Corporate Edition 9.0 vor Build 9.01.1000
Symantec AntiVirus Corporate Edition 8.01, 8.1.1
Symantec Client Security 2.0 vor Build 9.01.1000
Symantec Client Security 1.0, 1.0
Symantec Gateway Security 2.0, 2.0.1 - 5400 Series
Symantec Gateway Security 1.0 - 5300 Series

Nach Angaben von Symantec wird das fehlerhafte Modul inzwischen nicht mehr zum Parsen verwendet, da mittlerweile eine neue Scan-Engine diese Aufgabe übernehme. Bereits vor der Benachrichtigung über diesen Fehler durch ISS habe man das Modul von weiteren Upgrades ausgenommen. Man plane mit dem nächsten Wartungs-Update per LiveUpdate das Modul ganz aus den betroffenen Produkten zu entfernen.

Für die Appliances Gateway Security 5300 und 5400 Series stellt der Hersteller eigene Hot-Fixes bereit, um den Fehler zu beheben. Für Symantec Antivirus Corporate Edition und Symantec Client Security gibt der Tech-Support ebenfalls Maintenance-Releases heraus. Nähere Einzelheiten sind dem Original-Advisory von Symantec zu entnehmen.

Quelle und Links : http://www.heise.de/newsticker/meldung/56209

[SiLæncer]

Symantec weist auf zwei Schwachstellen in seinen Norton-AntiVirus-Produkten hin, die im schlimmsten Fall zum Bluescreen unter Windows führen. Nach Angaben des Herstellers findet sich der erste Fehler in der AutoProtect-Funktion. Eine Echtzeitüberprüfung bestimmter Dateien führt zum Absturz des als virtuellen Gerätetreibers implementierten Scanners. Um welche Dateien es sich genau handelt, gibt der Hersteller nicht an, allerdings müssen sie selbst keinen Schadcode wie Trojaner und Würmer enthalten. Eine Datei kann beispielsweise per E-Mail oder per CD den Weg in den Rechner finden. Ein Angreifer könnte dieses Problem für DoS-Attacken ausnutzen.

Der zweite Fehler tritt nur auf, wenn die SmartScan-Funktion von AutoProtect aktiviert ist. Ändert der Anwender den Namen einer Datei auf einem Netzlaufwerk, so führt dies unter bestimmten Umständen zur vollständigen Auslastung der CPU und kurz darauf zum Stillstand des Systems.

Betroffen sind Norton AntiVirus 2004 und 2005, Norton Internet Security 2004 und 2005 (Professional) sowie Norton System Works 2004 (Professional) und Norton System Works 2005 (Premier). Symantec hat den Fehler bereits behoben. Systeme, die sich automatisch per LiveUpdate aktualisieren, haben bereits die aktuellen Versionen installiert. Andernfalls sollten Anwender den LiveUpdate manuell anstoßen.

Quelle und Links : http://www.heise.de/newsticker/meldung/58020

[Jürgen]

Neu ist seit gestern (nur) das Update zum Common Client Core.
Seltsamerweise kam das zweimal in gleicher Grösse, zwischendurch versagte Auoprotect hier nachvollziehbar duch den ProgDVB Launcher.

Ansonsten gebe ich auf das Getrolle zu dieser Meldung im Heise-Forum nichts.

[SiLæncer]

Der Software-Hersteller Symantec plant ein Update seiner Sicherheitspakete Norton Internet Security und Norton Personal Firewall, da deren Nutzer seit etwas mehr als einer Woche gehäuft den Streichen unverbesserlicher Internet-Rowdies ausgesetzt sind. Vor knapp zwei Wochen veröffentlichte der Hacker HM2K eine Notiz in seinem Blog, die eine Möglichkeit offenbarte, Norton-Produkte im Internet Relay Chat zu manipulieren. Sendet jemand die Zeichenfolge "startkeylogger" oder "stopkeylogger" in einem IRC-Kanal, werde jeder Nutzer, der eines der angesprochenen Norton-Produkte einsetzt, von eben diesem augenblicklich aus dem Chat geworfen. Kurz nach diese Notiz seien Norton-Kunden im IRC vor Spaßvögeln nicht mehr sicher gewesen, die sie pausenlos rausfliegen ließen.

Hacker nutzen IRC-Kanäle, um mit Viren oder Würmern infizierte Rechner zu kontrollieren. Der Spybot-Wurm verbreitet sich über IRC und P2P-Netze und installiert ein Programm, das alle Tastatureingaben des infizierten Rechners überträgt. Der Schädling reagiert auf die oben genannten Befehle, weshalb die Norton-Produkte auf jene Kommandos reagieren. Laut Washington Post hat ein Symantec-Sprecher angekündigt, die Reaktion des Programms auf die genannten Schlüsselwörter im nächsten Sicherheits-Update abzustellen. Allerdings wolle man an der Technik, Befehle zu blockieren, festhalten.

Quelle : www.heise.de

[SiLæncer]

Symantec meldet auf seiner Support-Seite, dass das LiveUpdate vom 15. März für die Produkte Norton Internet Security, Norton Personal Firewall und Norton AntiVirus eine Intrusion-Detection-Signatur eingespielt hat, die die AOL-Einwahl verhindert. Symantec hat zwar bereits ein weiteres Update bereit gestellt, das lässt sich allerdings ohne Internet-Verbindung nicht einspielen. Deshalb beschreibt Symantec, wie man seinen Internet-Zugang wieder in Betrieb nehmen kann. Demnach sollen Betroffene die Option "Security" beziehungsweise "Enable Internet Worm Protection" vorläufig abschalten, sich einwählen, ein erneutes Update durchführen und schließlich ihre Schutzmaßnahmen wieder aktivieren.

Siehe dazu auch:

    * Cannot connect to AOL after running LiveUpdate von Symantec

Quelle und Links : http://www.heise.de/security/news/meldung/71012

[SiLæncer]

Pünktlich zum Ende der öffentlichen Betaphase von Norton 360 hat Symantec angekündigt, dass die endgültige Fassung der Software etwa ab Mitte März im Handel zu kaufen sein wird. Die Sicherheitssoftware soll besonders leicht zu bedienen sein und die Rechnerressourcen schonen.

Dazu haben die Entwickler die sonst in Internet-Security-Suites üblichen Komponenten in ein einziges ausführbares Programm gegossen und dessen Geschwindigkeit und Speicherverbrauch optimiert. Norton 360 deckt die Bereiche Virenscanner, Anti-Spyware, Firewall, Intrusion-Prevention-System und Anti-Phishing ab. Außerdem soll der Behavior-Blocker Sonar noch unbekannte Schädlinge und Rootkits an ihrem Verhalten erkennen und die weitere Ausführung verhindern können.

Wie Microsofts OneCare enthält Symantecs Rundumschutz auch Funktionen zum Optimieren des Rechners, etwa zur Entrümpelung von temporären Dateien oder zum Defragmentieren von Festplatten. Zusätzlich bietet Symantec jedoch 2 GByte Online-Speicher für Backups an, wobei die Software etwa die Ablageorte für Dokumente auf dem Rechner selbstständig erkennen und den Upload automatisch vornehmen können soll. Die Software verschlüsselt die Daten dabei und nimmt inkrementelle Updates vor, um Platz und Bandbreite zu sparen.

Anwender erhalten zum Preis von 70 Euro Lizenzen für bis zu drei Rechner. Wer mehr Online-Speicherplatz benötigt, kann zusätzliche 5 GByte für 25 Euro beziehungsweise 10 GByte für 40 Euro erstehen.

Quelle : www.heise.de

[SiLæncer]

Durch eine Sicherheitslücke in Symantecs Norton Personal Firewall 2004 können Angreifer übers Netz unter Umständen beliebigen Schadcode in verwundbare Systeme einschleusen und ausführen lassen. Laut Hersteller lässt sich der Fehler im ActiveX-Modul ISAlertDataCOM (ISLALERT.DLL) ausnutzen, indem den Funktionen "Get()" und "Set()" präparierte Parameter übergeben werden. Für einen erfolgreichen Angriff muss ein Opfer mit dem Internet Explorer eine manipulierte Webseite besuchen.

Die Personal Firewall ist auch Teil der Norton Internet Security Suite 2004. Deren Anwender sind ebenfalls verwundbar. Neuere Versionen der Software sind laut Symantec jedoch nicht betroffen. Der Hersteller stellt via LiveUpdate aktualisierte Module bereit, die den Fehler nicht mehr enthalten. Wer die Updates nicht automatisch einspielen lässt, sollte umgehend das LiveUpdate manuell starten.

Siehe dazu auch:

    * Symantec Norton Personal Firewall ActiveX Control Remote Buffer Overflow Vulnerability
    * Symantec Norton Personal Firewall 2004 ActiveX Control Buffer Overflow

Quelle und Links : http://www.heise.de/security/news/meldung/89853

[SiLæncer]

Symantec hat in einem Fehlerbericht auf kritische Lücken in Norton AntiVirus 2006, Norton Internet Security 2006, Norton Internet Security - Anti Spyware Edition 2005 und Norton System Works 2006 hingewiesen, über die Angreifer einen Windows-PC unter ihre Kontrolle bringen können. Ursache sind zwei ActiveX-Controls (AxSysListView32 und AxSysListView32OAA in NAVCOMUI.DLL), in denen bei der Verarbeitung der Objekte AnomalyList und Anomaly nicht näher beschriebene Fehler auftreten. Darüber soll sich laut Secunia Code in einen Rechner schleusen und mit den Rechten des Anwenders starten lassen. Um über diese Lücke etwa mit einem Schädling infiziert zu werden, genügt es, eine präparierte Webseite zu besuchen.

Symantec hat Updates zum Schließen der Lücken zur Verfügung gestellt, die auch schon per LiveUpdate verteilt werden. PCs von Anwendern, die das automatische Update aktiviert haben, sollten also bereits nicht mehr verwundbar sein. Anwender, die LiveUpdate deaktiviert haben, müssen die Aktulaisierung manuell anstoßen.Die Enterprise-Produkte sind nicht betroffen.

Quelle : www.heise.de

[SiLæncer]

Ein am vergangenen Wochenende veröffentlichtes Update für Symantecs Sicherheitssoftware sorgt für Probleme unter Spielern des MMORPGs "World of Warcraft". Dateien von WoW werden von dem Virenscanner fälschlicherweise als gefährlich identifiziert.

Stein des Anstoßes sind die Programmbibliotheken "scan.dll" und "scan.dll.new". Diese dient dem Feststellen der System-Konfiguration und wird von Symantec als Spionage-Software eingestuft. Wie Postings im offiziellen WoW-Forum nahelegen, betrifft das Programm eine durchaus bedeutende Zahl von Zockern.

Betroffen ist offenbar die Software "Norton 360" und "Norton 2009". Ob auch andere Versionen das Problem aufweisen, ist momentan nicht zweifelsfrei zu klären. Ein Update auf die jeweils aktuellste Version scheint das Problem aber mittlerweile zu beheben.

Symantec kommentierte die Problematik bisher nicht. Wie im Forum zu lesen ist, sollen früher auch andere Antivirus-Programme diesen falsch positiven Treffer geliefert haben.

Quelle : www.gulli.com

[SiLæncer]

Mehrere heise-online-Leser haben gemeldet, dass nach der Installation des aktuellen Firefox-Updates Norton Antivirus respektive Internet Security Alarm schlug und mehrere Dateien in die Quarantäne verfrachtete. Daraufhin funktionierte Firefox nicht mehr. Es sieht jedoch alles danach aus, dass es sich dabei um einen Fehlalarm handelt.

Auch im Internet und in den Symantec-Support-Foren berichten Anwender von Schädlingsalarm nach dem Firefox-Update. Betroffen sind demnach die Dateien

    * freebl3.dll
    * softokn3.dll
    * nssdbm3.dll

Wenn eine Datei bisher nicht weit verbreitet ist, genügt oft eine Kleinigkeit, um den Alarm von In-The-Cloud-Funktionen auszulösen.

Der angegebene Name WS.Reputation.1 lässt dabei auf eine Erkennung durch In-The-Cloud-Funktionen schließen. Dabei wertet Symantec die von den Systemen der Anwender übermittelten Informationen aus, um zu einer Bewertung von Dateien zu kommen. Dateien, die bislang nicht gesichtet wurden, gelten als besonders verdächtig. Dann muss nur noch etwas Ungewöhnliches an beziehungsweise in der Datei erkannt werden, damit Norton Alarm schlägt. Im c't-Test erzeugte sogar ein völlig harmloses, selbsterstelltes Hallo-Welt-Programm einen solchen Alarm. Es erregte Verdacht, weil es mit MinGW übersetzt wurde und der Norton-Community bis dato unbekannt war.

In einem der englischen Symantec-Foren bestätigt ein Symantec-Mitarbeiter, dass es sich um einen Fehlalarm handelt. Demnach sei das Problem auf den Symantec-Servern bereits behoben und es sollten keine weiteren Fehlalarme auftreten. Stefan Wesche, technischer Experte von Symantec erklärte gegenüber heise Security, dass derzeit bei der Installation von Firefox 3.6.6 kein Alarm ausglöst werde. Es sei jedoch möglich, "dass es gestern kurzzeitig zu einer Fehlbewertung der Reputation der Firefox 3.6.6 Dateien kam". Wer betroffen ist, kann versuchen, die Dateien aus der Quarantäne wieder herzustellen; im schlimmsten Fall beseitigt eine Neuinstallation von Firefox das Problem des nicht mehr startenden Browsers.

Quelle : www.heise.de