กระดาษนี้มีรายละเอียดเกี่ยวกับช่องโหว่ใน Sophos antivirus code ซึ่งมีหน้าที่ในการแยกวิเคราะห์ Visual Basic 6 , ไฟล์ PDF, CAB และ RAR ข้อบกพร่องเหล่านี้อาจถูกโจมตีจากระยะไกลและอาจส่งผลให้เกิดการเรียกใช้รหัสที่กำหนดไว้ในระบบ

Ormandy ยังรวมถึงการใช้ประโยชน์จากหลักฐานของแนวคิด สำหรับช่องโหว่ในการวิเคราะห์รูปแบบไฟล์ PDF ซึ่งเขาอ้างว่าไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้การตรวจสอบและสามารถแปลงเป็นตัวแพร่กระจายได้อย่างง่ายดาย

นักวิจัยสร้างการใช้ประโยชน์จากไวรัส Sophos ในเวอร์ชัน Mac แต่ยังกล่าวว่าช่องโหว่นี้มีผลต่อ ผลิตภัณฑ์รุ่น Windows และ Linux และการใช้ประโยชน์สามารถแปลไปยังแพลตฟอร์มเหล่านี้ได้อย่างง่ายดาย

ช่องโหว่ในการแยกวิเคราะห์ PDF สามารถใช้ประโยชน์ได้โดยเพียงแค่ได้รับอีเมลใน Outlook หรือ Mail.app Ormandy กล่าวในเอกสาร เนื่องจาก Sophos antivirus ขัดขวางการทำงานของอินพุตและเอาต์พุต (I / O) โดยอัตโนมัติการเปิดหรืออ่านอีเมล์ไม่จำเป็นยิ่งกว่านั้น

"สถานการณ์การโจมตีที่เหมือนกันมากที่สุดสำหรับเวิร์มเครือข่ายทั่วโลกคือการเผยแพร่ข้อมูลด้วยตัวเองผ่านทางอีเมล" Ormandy กล่าว "ผู้ใช้ไม่จำเป็นต้องโต้ตอบกับอีเมลเนื่องจากช่องโหว่จะถูกโจมตีโดยอัตโนมัติ"

อย่างไรก็ตามวิธีการโจมตีอื่น ๆ ก็เป็นไปได้ด้วยเช่นโดยการเปิดไฟล์ประเภทใดก็ได้ที่ผู้บุกรุกใช้ นักวิจัยกล่าวว่าการเข้าสู่ URL (แม้แต่ในเบราว์เซอร์แบบ sandboxed) หรือฝังภาพโดยใช้ MIME cid: URLs ลงในอีเมลที่เปิดขึ้นในเว็บเมล Ormandy ยังพบว่าคอมโพเนนต์ที่เรียกว่า "Buffer Overflow Protection System" (BOPS) ที่มาพร้อมกับ Sophos antivirus ทำให้ ASLR (ASLR) ไม่สามารถใช้งานได้ การใช้ประโยชน์จากคุณลักษณะการบรรเทาผลกระทบในทุกเวอร์ชันของ Windows ที่สนับสนุนโดยค่าเริ่มต้นรวมถึง Vista และต่อมา

"เป็นการเลี่ยงไม่ได้ที่จะปิดระบบ ASLR ทั่วระบบเช่นนี้โดยเฉพาะเพื่อที่จะขายทางเลือกที่ไร้เดียงสาให้กับลูกค้านั่นคือ "Ormandy กล่าวว่า

ส่วนประกอบเว็บไซต์ blacklisting สำหรับ Internet Explorer ที่ติดตั้งโดย Sophos antivirus จะยกเลิกการป้องกันที่นำเสนอโดยคุณลักษณะ Protected Mode ของเบราเซอร์ นอกจากนี้เทมเพลตที่ใช้ในการแสดงคำเตือนโดยส่วนประกอบ blacklisting ยังนำเสนอช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ทั่วโลกที่เอาชนะนโยบาย Origin เดิมของเบราเซอร์

นโยบาย Origin เดิมคือ "หนึ่งในกลไกด้านความปลอดภัยขั้นพื้นฐานที่ทำให้อินเทอร์เน็ตปลอดภัย Ormandy กล่าวว่า "ด้วยนโยบาย Origin Origin เดียวกันที่ถูกทำลายเว็บไซต์ที่เป็นอันตรายสามารถโต้ตอบกับ Mail Intranet Systems นายทะเบียนธนาคารและระบบบัญชีเงินเดือนและอื่น ๆ ได้"

ความเห็นของ Ormandy ในบทความนี้แนะนำว่าช่องโหว่จำนวนมากเหล่านี้ควรถูกจับ ในระหว่างกระบวนการพัฒนาผลิตภัณฑ์และการประกันคุณภาพ

นักวิจัยได้แบ่งปันข้อคิดเห็นของเขากับ Sophos ล่วงหน้าและทาง บริษัท ได้เปิดตัวโปรแกรมรักษาความปลอดภัยสำหรับช่องโหว่ที่เปิดเผยไว้ในเอกสาร บางส่วนของการแก้ไขถูกรีดออกเมื่อวันที่ 22 ตุลาคมในขณะที่คนอื่น ๆ ได้รับการปล่อยตัวเมื่อวันที่ 5 พฤศจิกายน บริษัท กล่าวว่าวันจันทร์ในโพสต์บล็อก

ยังคงมีปัญหาบางอย่างที่อาจใช้ประโยชน์ได้ค้นพบโดย Ormandy ผ่าน fuzzing การทดสอบความปลอดภัย วิธีการที่ใช้ร่วมกันกับ Sophos แต่ไม่ได้เปิดเผยต่อสาธารณชน ปัญหาเหล่านี้กำลังได้รับการตรวจสอบและแก้ไขปัญหาสำหรับพวกเขาจะเริ่มออกวางจำหน่ายในวันที่ 28 พฤศจิกายนนี้ บริษัท กล่าวว่า

"ในฐานะ บริษัท รักษาความปลอดภัยการรักษาความปลอดภัยของลูกค้าถือเป็นความรับผิดชอบหลักของ Sophos" Sophos กล่าว "ผลที่ตามมาผู้เชี่ยวชาญ Sophos ได้ตรวจสอบรายงานความเสี่ยงทั้งหมดและใช้ขั้นตอนการดำเนินการที่ดีที่สุดในช่วงเวลาที่ จำกัด " "เป็นเรื่องที่ดีที่ Sophos สามารถส่งชุดแก้ไขภายในไม่กี่สัปดาห์และไม่ทำให้ลูกค้าเสียโฉม Graham Cluley, ที่ปรึกษาอาวุโสด้านเทคโนโลยีของ Sophos กล่าวว่าทางอีเมล "เรารู้สึกขอบคุณที่ Tavis Ormandy ได้ค้นพบช่องโหว่เช่นนี้ทำให้ผลิตภัณฑ์ของ Sophos ดีขึ้น"

อย่างไรก็ตาม Ormandy ไม่พอใจกับเวลาที่โซโฟใช้ในการแก้ไขช่องโหว่ที่สำคัญที่เขารายงาน ปัญหาดังกล่าวได้ถูกรายงานไปยัง บริษัท เมื่อวันที่ 10 กันยายนเขากล่าวว่า

"ในการตอบสนองต่อการเข้าถึงรายงานฉบับนี้ Sophos ได้จัดสรรทรัพยากรบางส่วนเพื่อแก้ไขปัญหาดังกล่าว แต่ก็ไม่ชัดเจนว่าจะสามารถจัดการกับผลผลิตของ หนึ่งสหกรณ์นักวิจัยด้านความปลอดภัยที่ไม่ใช่ฝ่ายตรงข้าม "Ormandy กล่าว นักวิจัยกล่าวว่า Sophos อ้างว่าผลิตภัณฑ์ของ บริษัท Sophos อ้างว่าผลิตภัณฑ์ของตนถูกนำไปใช้ในการดูแลสุขภาพรัฐบาลกระทรวงการคลังและแม้แต่ทหาร "ความสับสนวุ่นวายที่ผู้บุกรุกที่มีแรงบันดาลใจอาจเป็นสาเหตุให้ระบบเหล่านี้เป็นภัยคุกคามระดับโลกที่สมจริง ด้วยเหตุนี้ผลิตภัณฑ์ Sophos ควรได้รับการพิจารณาเฉพาะสำหรับระบบที่ไม่สำคัญที่มีมูลค่าต่ำและไม่เคยใช้งานบนเครือข่ายหรือสภาพแวดล้อมที่การประนีประนอมโดยคู่แข่งจะไม่สะดวก "เอกสารของ Ormandy มีส่วนที่อธิบายถึงแนวทางปฏิบัติที่ดีที่สุดและ รวมถึงคำแนะนำของนักวิจัยสำหรับลูกค้า Sophos เช่นการใช้แผนฉุกเฉินที่จะอนุญาตให้ปิดการติดตั้งโปรแกรมป้องกันไวรัสของ Sophos ได้ในเวลาอันสั้น "Sophos ไม่สามารถตอบสนองได้อย่างรวดเร็วพอที่จะป้องกันไม่ให้เกิดการโจมตีแม้ว่าจะมีการใช้ประโยชน์จากการทำงานก็ตาม". "หากผู้โจมตีเลือกที่จะใช้ Sophos Antivirus ในฐานะที่เป็นช่องทางของพวกเขาในเครือข่ายของคุณ Sophos จะไม่สามารถป้องกันไม่ให้มีการบุกรุกมาได้เป็นระยะเวลาหนึ่งและคุณต้องใช้แผนฉุกเฉินในการจัดการกับสถานการณ์นี้ถ้าคุณเลือกที่จะปรับใช้ Sophos ต่อไป"