<!DOCTYPE html>
<html><head>
    <meta charset="UTF-8">
</head><body><p><br></p><blockquote type="cite">---------- Original Message ----------<br>From: US-CERT <US-CERT@ncas.us-cert.gov><br>To: w3hwn@comcast.net<br>Date: July 5, 2016 at 1:09 PM<br>Subject: TA16-187A: Symantec and Norton Security Products Contain Critical Vulnerabilities<br><br><table width="700" border="0" cellspacing="0" cellpadding="0" align="center" style="border-collapse: collapse;" class="mce-item-table"><tbody><tr><td style="padding: 0px;"><p><img src="http://content.govdelivery.com/attachments/fancy_images/USDHSUSCERT/2015/11/675988/us-cert-banner-700x100-2_original.png" alt="U.S. Department of Homeland Security US-CERT" width="700" height="100" style="width: 700px; height: 100px;"></p><p>National Cyber Awareness System:</p><p> </p><div class="ox-ea8442d128-rss_item" style="margin-bottom: 2em;"><div class="ox-ea8442d128-rss_title" style="font-weight: bold; font-size: 120%; margin: 0 0 0.3em; padding: 0;"><a href="https://www.us-cert.gov/ncas/alerts/TA16-187A">TA16-187A: Symantec and Norton Security Products Contain Critical Vulnerabilities</a></div><div class="ox-ea8442d128-rss_pub_date" style="font-size: 90%; font-style: italic; color: #666666; margin: 0 0 0.3em; padding: 0;">07/05/2016 10:50 AM EDT</div><br><div class="ox-ea8442d128-rss_description" style="margin: 0 0 0.3em; padding: 0;">Original release date: July 05, 2016<br><h3>Systems Affected</h3><p>All Symantec and Norton branded antivirus products</p><h3>Overview</h3><p>Symantec and Norton branded antivirus products contain multiple vulnerabilities. Some of these products are in widespread use throughout government and industry. Exploitation of these vulnerabilities could allow a remote attacker to take control of an affected system.</p><h3>Description</h3><p>The vulnerabilities are listed below:</p><p>CVE-2016-2207</p><ul><li><p>Symantec Antivirus multiple remote memory corruption unpacking RAR [<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=810">1</a>]</p></li></ul><p>CVE-2016-2208</p><ul><li>Symantec antivirus products use common unpackers to extract malware binaries when scanning a system. A heap overflow vulnerability in the ASPack unpacker could allow an unauthenticated remote attacker to gain root privileges on Linux or OSX platforms. The vulnerability can be triggered remotely using a malicious file (via email or link) with no user interaction. [<a href="http://googleprojectzero.blogspot.com/2016/06/how-to-compromise-enterprise-endpoint.html">2</a>]</li></ul><p>CVE-2016-2209 </p><ul><li>Symantec: PowerPoint misaligned stream-cache remote stack buffer overflow [<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=823">3</a>]</li></ul><p>CVE-2016-2210</p><ul><li>Symantec: Remote Stack Buffer Overflow in dec2lha library [<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=814">4</a>]         </li></ul><p>CVE-2016-2211</p><ul><li>Symantec: Symantec Antivirus multiple remote memory corruption unpacking MSPACK Archives [<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=816">5</a>]</li></ul><p>CVE-2016-3644</p><ul><li>Symantec: Heap overflow modifying MIME messages [<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=818">6</a>]      </li></ul><p>CVE-2016-3645</p><ul><li>Symantec: Integer Overflow in TNEF decoder [<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=819">7</a>]       </li></ul><p>CVE-2016 -3646</p><ul><li>Symantec: missing bounds checks in dec2zip ALPkOldFormatDecompressor::UnShrink [<a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=821">8</a>]</li></ul><p> </p><h3>Impact</h3><p>The large number of products affected (24 products), across multiple platforms (OSX, Windows, and Linux), and the severity of these vulnerabilities (remote code execution at root or SYSTEM privilege) make this a very serious event. A remote, unauthenticated attacker may be able to run arbitrary code at root or SYSTEM privileges by taking advantage of these vulnerabilities. Some of the vulnerabilities require no user interaction and are network-aware, which could result in a wormable-event.</p><h3>Solution</h3><p>Symantec has provided patches or hotfixes to these vulnerabilities in their SYM16-008 [<a href="https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160516_00">9</a>] and SYM16-010 [<a href="https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00">10</a>] security advisories.</p><p>US-CERT encourages users and network administrators to patch Symantec or Norton antivirus products immediately. While there has been no evidence of exploitation, the ease of attack, widespread nature of the products, and severity of the exploit may make this vulnerability a popular target.</p><h3>References</h3><ul><li><a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=810">[1] Symantec Antivirus multiple remote memory corruption unpacking RAR</a></li><li><a href="http://googleprojectzero.blogspot.com/2016/06/how-to-compromise-enterprise-endpoint.html">[2] How to Compromise the Enterprise Endpoint</a></li><li><a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=823">[3] Symantec: PowerPoint misaligned stream-cache remote stack buffer overflow</a></li><li><a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=814">[4] Symantec: Remote Stack Buffer Overflow in dec2lha library</a></li><li><a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=816">[5] Symantec: Symantec Antivirus multiple remote memory corruption unpacking MSPACK Archives</a></li><li><a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=818">[6] Symantec: Heap overflow modifying MIME messages</a></li><li><a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=819">[7] Symantec: Integer Overflow in TNEF decoder</a></li><li><a href="https://bugs.chromium.org/p/project-zero/issues/detail?id=821">[8] Symantec: missing bounds checks in dec2zip ALPkOldFormatDecompressor::UnShrink</a></li><li><a href="https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160516_00">[9] Symantec SYM16-008 security advisory</a></li><li><a href="https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00">[10] Symantec SYM16-010 security advisory</a></li></ul><h3>Revision History</h3><ul><li>July 5, 2016: Initial Release</li></ul><hr><p>This product is provided subject to this <a href="http://www.us-cert.gov/privacy/notification">Notification</a> and this <a href="http://www.us-cert.gov/privacy/">Privacy & Use</a> policy.</p></div></div><div id="ox-ea8442d128-mail_footer"><hr><table style="border-collapse: collapse; width: 100%;" border="0" cellspacing="0" cellpadding="0" class="mce-item-table"><tbody><tr><td style="padding: 0px; color: #757575; font-size: 10px; font-family: Arial;" width="89%" height="60">A copy of this publication is available at <a href="https://www.us-cert.gov">www.us-cert.gov</a>. If you need help or have questions, please send an email to <a href="mailto:info@us-cert.gov">info@us-cert.gov</a>. Do not reply to this message since this email was sent from a notification-only address that is not monitored. To ensure you receive future US-CERT products, please add US-CERT@ncas.us-cert.gov to your address book.</td></tr></tbody></table><table style="border-collapse: collapse; width: 400px;" border="0" cellspacing="0" cellpadding="0" class="mce-item-table"><tbody><tr><td style="padding: 0px; color: #666666; font-family: Arial, sans-serif; font-size: 12px;" valign="bottom" height="24">OTHER RESOURCES:</td></tr><tr><td style="padding: 0px; color: #666666; font-family: Arial, sans-serif; font-size: 12px;" valign="middle" height="24"><a href="http://www.us-cert.gov/contact-us/" target="_blank">Contact Us</a> | <a href="http://www.us-cert.gov/security-publications" target="_blank">Security Publications</a> | <a href="http://www.us-cert.gov/ncas" target="_blank">Alerts and Tips</a> | <a href="http://www.us-cert.gov/related-resources" target="_blank">Related Resources</a></td></tr></tbody></table><table style="border-collapse: collapse; width: 150px;" border="0" cellspacing="0" cellpadding="0" class="mce-item-table"><tbody><tr><td style="padding: 0px; color: #666666; font-family: Arial, sans-serif; font-size: 12px;" colspan="7" valign="bottom" height="24">STAY CONNECTED:</td></tr><tr><td width="41" style="padding: 0px;"><a href="http://public.govdelivery.com/accounts/USDHSUSCERT/subscriber/new"><img src="https://service.govdelivery.com/banners/GOVDELIVERY/SOCIAL_MEDIA/envelope.gif" border="0" alt="Sign up for email updates" width="25" height="25" style="width: 25px; height: 25px;"></a></td></tr></tbody></table><p style="color: #666666; font-family: Arial, sans-serif; font-size: 12px;">SUBSCRIBER SERVICES:<br><a href="http://public.govdelivery.com/accounts/USDHSUSCERT/subscribers/new?preferences=true" target="_blank">Manage Preferences</a>  |  <a href="https://public.govdelivery.com/accounts/USDHSUSCERT/subscriber/one_click_unsubscribe?verification=5.950164116ce9221a178d1afcfce6b64a&destination=w3hwn%40comcast.net" target="_blank">Unsubscribe</a>  |  <a href="https://subscriberhelp.govdelivery.com/">Help</a></p></div><div id="ox-ea8442d128-tagline"><hr><table style="border-collapse: collapse; width: 100%;" border="0" cellspacing="0" cellpadding="0" class="mce-item-table"><tbody><tr><td style="padding: 0px; color: #757575; font-size: 10px; font-family: Arial;" width="89%">This email was sent to w3hwn@comcast.net using GovDelivery, on behalf of: United States Computer Emergency Readiness Team (US-CERT) · 245 Murray Lane SW Bldg 410 · Washington, DC 20598 · (888) 282-0870</td><td align="right" width="11%" style="padding: 0px;"><a href="http://www.govdelivery.com/portals/powered-by" target="_blank"><img src="https://service.govdelivery.com/banners/GOVDELIVERY/logo_gd_poweredby.gif" border="0" alt="Powered by GovDelivery" width="115" height="35" style="width: 115px; height: 35px;"></a></td></tr></tbody></table></div></td></tr></tbody></table></blockquote></body></html>