第33期安全事件


英文标题 Symantec warns of serious security holes – in Symantec security kit

中文标题

赛门铁克SEP系统存在的一系列安全漏洞

作者及单位

Shaun Nichols;The Register
内容概述
赛门铁克SEP是一款基于WEB门户的管理系统,你可以通过网络或本机的SEP管理服务系统登录到控制台,然而该系统却存在两个漏洞,跨脚本漏洞(XSS)和SQL注入漏洞。由于程序系统设计的问题,有两处均可被已登录用户利用来提升用户控制权限。另外一个系统bug存在于SEP的驱动文件SysPlant.sys中,该bug可被利用来绕过SEP的安全控制防护,该防护功能本来是用于防止用户电脑上恶意代码的运行,因为驱动文件不能感知到恶意代码的存在,恶意代码便可在机器上快速运行,一击致命
新闻链接
http://www.theregister.co.uk/2016/03/18/serious_security_holes_in_symantec_security/