ChannelBiz

El investigador de seguridad Tavis Ormandy ha descubierto vulnerabilidades críticas en el producto antivirus desarrollado por la empresa de seguridad Sophos. Teniendo en cuenta que hasta hace poco la compañía se centraba prácticamente en soluciones antivirus hasta que varias adquisiciones le han llevado a ser una compañía de hardware capaz de ofrecer seguridad completa, es una acusación grave.

Tavis Ormandy ha llevado su investigación hasta el punto de advertir a las organizaciones de que eviten utilizar el producto antivirus de Sophos en sistemas críticos a menos que el vendedor mejore su desarrollo de producto y el control de calidad.

Ormandy trabaja como ingeniero de seguridad en Google –aunque asegura haber realizado la investigación en sus ratos libres, y ha desvelado todos los detalles sobre las vulnerabilidades encontradas en un documento (PDF) que ha titulado Sophail: Applied attacks against Sophos Antivirus y que publicó el lunes.

En el documento se detallan varias vulnerabilidades en el código antivirus de Sophos responsable de analizar archivos Visual Basic 6, PDF, CAB y RAR. Algunos de estos fallos se pueden atacar de manera remota y permitir ejecución arbitraria de código en el sistema.

La investigación de Tavis Ormandy llega hasta a lanzar una prueba de concepto para una vulnerabilidad en el análisis de archivos PDF que asegura que no requiere la interacción o autenticación del usuario y que se puede transformar fácilmente en un gusano que de auto-propagación. El exploit se ha desarrollado para Mac, pero parece que también funciona en las versiones Windows y Linux del producto.

Tavis Ormandy compartió sus investigaciones con Sophos, que ha utilizado su blog, Naked Security, para hacer referencia al asunto y explicar detalladamente cuándo le fue comunicada cada vulnerabilidad y cuándo ha sido lanzado el parche. A primeros de esta semana, coincidiendo con la publicación del documento, las soluciones antivirus de Sophos estaban completamente parcheadas y fuera de peligro.

No obstante, en su documento Ormandy recomienda a los clientes de Sophos que implementen planes de contingencia que les permitan desactivar las instalaciones de Sophos antivirus a corto plazo. “Sophos simplemente no puede reaccionar suficientemente rápido para prevenir los ataques”, dice el investigador, que presentó a la compañía de seguridad un exploit que funcionaba.