Vulnérabilités mineures dans l'outil de mise à jour de Symantec - "LiveUpdate"

Suite à différentes publications concernant un problème de sécurité du produit de mise à jour automatique "LiveUpdate", Symantec a émis un avis de sécurité afin de clarifier le problème.

 Lors du téléchargement d'une mise à jour, "LiveUpdate" ne contrôle pas de manière efficace les propriétés du premier fichier téléchargé (fichier zip), qui correspond au catalogue des mises à jour disponibles pour les applications Symantec installées sur le système.

Ainsi l'exploitation de la faiblesse signalée ci-dessous permet à une personne mal attentionnée, soit en détournant les connexions à destination du serveur de mises à jour de Symantec vers un serveur pirate, soit en déposant de fausses mises à jour sur les serveurs internes utilisés par "LiveUpdate" :

• de créer un déni de service du système (consommation excessive des ressources système par le client "LiveUpdate"),

• de faire télécharger des fichiers zip malicieux dans un répertoire arbitraire du système.

Les circonstances d'exploitation et les conséquences liées à ce problème ont amené Symantec à considérer ce problème comme non critique. L'éditeur proposera prochainement des correctifs dans une nouvelle version du client "LiveUpdate".

 Pour plus d'information :

Avis de sécurité de Symantec : http://securityresponse.symantec.com/avcenter/security/Content/2004.11.23.html