Летом 2015 года пользователи интернета широко обсуждали проблемы безопасности антивирусных инструментов. Напомним, тогда серьезные уязвимости были обнаружены в продуктах ESET, а затем и в BitDefender с Symantec. На текущей неделе стало известно об очередных проблемах с защитой антивирусного софта. Один из пользователей ресурса Google Code опубликовал описания и тестовые сценарии эксплуатации четырех серьезных уязвимостей антивируса Avast, две из которых являются критическими.
Критические уязвимости: OOB-запись и переполнение кучи
Первая описанная критическая уязвимость заключается в возможности OOB-записи в Avast Server Edition, что может приводить к расшифровке и запуску зашифрованных с помощью PEncrypt исполняемых файлов.
Кроме того, еще одна ошибка безопасности приводит к переполнению кучи компонента AvastSvc.exe. Исследователю удалось эксплуатировать уязвимость с помощью зашифрованного и упакованного в MoleBox-архив изображения. Таким образом, возможно проведение удаленных атак, связанных с выполнением кода.
Это еще не все
Помимо двух критических, опубликована и информация о не столь серьезных, но все же заметных уязвимостях Avast. Так, одна из ошибок имеет высокую степень критичности и может приводить к атакам вида integer overflow. В том случае, если значение поля numFonts в TTC-заголовке превышает (SIZE_MAX+1) / 4, при вызове функции CSafeGenFile::SafeLockBuffer возникает целочисленное переполнение (integer overflow) в компоненте filevirus_ttf(). Описание формата TTC представлено по ссылке.
Помимо этого, с помощью файла базы данных Microsoft Access исследователю удалось вызвать метод JetDb::IsExploited4x, в котором содержится ошибка, приводящая к возможности unbounded-поиска объектов — этой уязвимости присвоена средняя степень критичности.
В описании представленных уязвимостей сказано, что все они к настоящему моменту устранены разработчиками антивирусного софта. При этом в публикациях на Google Code не указаны уязвимые версии Avast, поэтому эксперты Positive Technologies рекомендуют всем пользователям данного антивируса скачать последнюю актуальную версию с сайта разработчиков.
Напомним, что некоторые спецслужбы очень интересуются уязвимостями в антивирусах: защитное ПО получает высокие привилегии доступа на компьютерах своих пользователей, поэтому взломанный антивирус позволяет следить за деятельностью тысяч людей, которые этим антивирусом пользуются. Именно поэтому почти одновременно со взломом ESET стало известно, что спецслужбы различных стран (в частности, Великобритании и США) изучали и пытались взломать продукты «Лаборатории Касперского».
Комментарии (30)
Eklykti
10.12.2015 20:54+8Учитывая, что это говно прописывает свои сертификаты в браузере и подменяет ими https-трафик для якобы его «проверки», то возможности для атаки открываются весьма неплохие.
ANTPro
11.12.2015 00:27-3Это не так плохо, ведь теперь любой сайт может получить сертификат. Который кстати не гарантирует, что с этого сайта не будут скачаны вирусы. Да и в любой антивирус встроен «ботнет» и он может забрать на свои сервера любой ваш файл.
Prototik
11.12.2015 07:31+5Любой mitm — плохо.
IRainman
11.12.2015 14:03+1Не всегда и не везде. Постараюсь раскрыть тему подробнее: если говорить именно с точки зрения безопасности и приватности то свой mitm для своей же маленькой локалки уровня домохозяйство (но не уровня предприятия и уж тем более не уровня провайдер или государство) это очень большое добро ибо можно приватность блюсти на шлюзе или дополнительном промежуточном устройстве за шлюзом. При этом снимаются ограничения на требования к используемому на конечных устройствах ПО и производительности оборудования ибо не надо на каждом устройстве городить механизмы фильтрации. Особенно это добро оказывается полезным в условиях когда надо проверить и пофильтровать от мусора трафик для мобильных устройств, которые все поголовно калькуляторы. Также это очень полезно когда с мобильного устройства выходишь в интернет через свой же VPN ибо весь мусор порежется уже на входе в свою сеть и не будет тащиться до конечного устройства канал до которого всегда гораздо хуже нормальной выделенной линии (значительные ограничения по скорости и (или) по трафику). Но есть и большие проблемы с подобными решениями, самая главная — единая точка отказа, с взломом которой произойдёт раскрытие вообще всех передаваемых данных, а в случае сбоя также накроется вся сеть.
В общем, как по мне, нельзя однозначно сказать, что любой mitm-плохо и всё, в конечном итоге, упирается в классический баланс удобство vs безопасность + удобство vs надёжность.
IRainman
11.12.2015 14:23P.S. ну и если не использовать mitm, то для применений, что я расписал выше вообще придётся использовать непрозрачный прокси, что костыль и ад в плане конфигурации на конечных устройствах и ограничений на ПО/протоколы, не говоря уже о дополнительно возникающих проблемах безопасности в локалке.
P.P.S. оффтоп для топика, но для более полного раскрытия моего коммента выше полезно, ещё из «злых» для обывателя технологий: DPI в домашней локалке полезен и большое добро ибо позволяет вообще не заморачиваясь с настройками тяжёлого софта, например, торрентов или клиентов облачных хранилищ избежать проблем в работе SIP/Skype/Потокового видео на Youtube/подставить нужное… Конечно можно и без DPI руками всё настроить на основе DSCP на уровне приложений, но для этого опять же надо на каждую конечную машину установить софт который будет маркировать трафик приложений нужными значениями ибо единицы приложений делают это самостоятельно.
lostpassword
11.12.2015 13:13Картинка:
Eklykti
11.12.2015 13:22Вот только среднестатистический хомячок не полезет в настройки отключать фильтр ssl, потому что хомячок вообще боится лазить в настройки чего-либо, чтоб случайно что-нибудь не сломать. А по дефолту оно включено.
CAJAX
11.12.2015 14:28+2Но ведь корневые сертификаты все равно устанавливаются.
x7mz
11.12.2015 17:54+3И даже если их ручками посносить эта «очень полезная» софтина пропишет их снова и от настроек это не зависит.
А сертификаты генерируются при установке и на каждой машине свои? Или же сгенерирован заранее (или по особому алгоритму) и у кого-то лежит ключик ко всем ssl соединениям?
Может есть у кого ответ на этот вопрос?
Alexufo
10.12.2015 23:00-10Всем кто еще не вкурсе, что ставить домохозяйкам из антивирусов рекомендую китайский бесплатный антивирус с дополнительными движками avira и bitdeffender (их нужно включить после установки) www.360totalsecurity.com
У него великолепный функционал по оптимизации компьютера: чистка темпов, рекомендации по отключению лишнего из автозагрузки, блокировщик фишинговых сайтов, всяких левых дистрибутивов с рекламами, скорость работы, неимоверная простота — вобщем маст хэв.прямо как увидел как гора с админских плечь: домохозяйки спасены. Очень надеюсь, что развитие продукта будет в том же векторе.Alexufo
10.12.2015 23:05+2минус только если вы работаете с визуал студией, он все exe при компиляции тоже грохает как подозрительные :-)
ANTPro
10.12.2015 23:27+3Закопайте это говно, туда откуда выкопали. Несколько месяцев не могли понять, почему у некоторых пользователей файл не запускается. Оказалось, что он его просто удалял до запуска. Пришлось подписать сертификатом, чтобы отстал от него.
Alexufo
10.12.2015 23:30+1несколько месяцев не могли понять что дело в антивирусе?? Подключиться к клиенту, проверить его проблему? Да, они такие и я считаю это преимуществом. Нечего домохозяйкам всякие exe с интернета неподписанные запускать. Ни одной проблемы с нормальным софтом я не встречал: от архиватора до системных утилит, фотошопов, вьюверов и прочего.
ANTPro
11.12.2015 00:08+5Естественно было только предположение, но подтверждений не было. Да и подобное поведение не адекватно. Приложение публичное и «Подключиться к клиенту» невозможно. А баг репорт далеко не каждый пришлет. Большинство скажет, что ваш софт говно и пойдет искать дальше. Для примера скачайте и запустите: http://builds.libav.org/windows/release-gpl/libav-11.3-win32.7z
Точно не помню который из релизов. И да «вирус» ведь в файле не исчез его просто подписали :)Alexufo
11.12.2015 00:27-5С антивирусами у вас же не у первых проблема.)
www.virustotal.com/ru/file/59f82563bf5dfba95f7689ece0945b29228f94176ccc7bd473e64870827bf080/analysis/1449782636
Да, он его определяет как троян. Пишите в поддержку. Ну так он же для домохозяек. Какой домохозяйке придет в голову качать утилиты для коммандной строки? Поглощая ваш софт в целом мир для домохозяек чище. Что то я сомневаюсь. что чувак качая libav недопетрит про антивирус… и скажет «ваш софт говно и пойдет искать дальше». libav отличный софт. Спасибо.Eklykti
11.12.2015 00:46+4
Потому что надо пользоваться кошерным ffmpeg, а не недо-libav, на который даже в дебиане решили забить болт и вернуться обратно к прародителю<troll mode="on">
</troll>
devpony
11.12.2015 12:38А как по вашему этот бесплатный китайский антивирус зарабатывает деньги, чтобы поддерживать и развивать весь этот великолепный функционал? Подсказка: бесплатный сыр только в мышеловке.
Alexufo
11.12.2015 12:43Ну развивайте вашу мысль, я вас слушаю внимательно. Я насмотрелся на авасты и подобные бесплатные антивирусы. Все в рекламе и как то вот… проигрывают по функционалу и детекции в моем случае.
devpony
11.12.2015 12:47+2Платных продуктов у них нет, рекламу их антивирус не показывает. Становится достаточно очевидно, что единственный доступный источник их заработка — продажа трафика и данных пользователя.
Alexufo
11.12.2015 12:53Ну то есть вы хотите сказать, что это разновидность malware, которую не палят другие антивирусы? Это ваши догадки или кто-то нашел подозрительную активность? Или эта активность неподозрительна или ее нет?
Qihoo 360 монетизирует свою базу пользователей через Интернет-рекламу и другие дополнительные платные услуги.
devpony
11.12.2015 13:02Хочу сказать, что не стоит доверять приложению, имеющему доступ ко всем файлам, трафику и реестру без внятной модели монетизации, ещё и от китайских разработчиков. Да и уязвимостей там тоже может быть куча, просто их не афишируют.
Alexufo
11.12.2015 13:08Ну так можно про любой софт на компе сказать :-). А уж если от китайцев то все — точно палево?)))
Если судить по их сайту — то выглядят они далеко не лохами.
Заголовок спойлераQihoo 360 входит в тройку ведущих компаний, производящих продукцию для Интернета, по размеру базы пользователей.
№1 — поставщик услуг обеспечения безопасности в Интернете в Китае по размеру базы пользователей
№1 — производитель веб-браузеров в Китае
№1 — магазин мобильных приложений в Китае
№2 — поисковая система в Китае
gpk
11.12.2015 13:03+1Пользуюсь MSSE c 2011 года — с тех пор ни одного «вируса», 2 переустановки винды, связанные лишь с обновлением железа. Ну и да, я не «домохозяйка», exe запускаю только скаченные с торрентов с просмотром комментариев, на вин 8-10 еще не переходил =)
Ставил его в организации (до 10 машин), и знакомым (в том числе «домохозяйкам») на компы — еще не жаловались, переустановить/удалить не просили.iborzenkov
11.12.2015 13:25ну уже кучу раз говорили, что для того чтобы пользоваться виндой и все было нормально нужно быть как минимум продвинутым пользователем
gpk
11.12.2015 13:45Один раз винда сама поставила какие-то глюкавые драйвера к видеокарте и после загрузки вводила ее в несовместимый с монитором режим.
vitektm
11.12.2015 15:44Если настроить ограничения в винде, то нормально будет все и не у продвинутого пользователя!
Андройд-linux. И что там у всех все нормально ???
Почему в школе учат else if и как в «конретной версии ворда сделать табличку», но не учат азам компьютерной грамотности??!iborzenkov
11.12.2015 15:48если настроить — никто не спорит.
ну линукс такие пользователи и не ставят, а телефоны работают нормально вроде как.
в школе? потому что в школе на уроке информатике дети пытаются хотя-бы одного учителя научить пользоваться компом :)gpk
11.12.2015 16:23Золотые слова! Учителя в школах этого сами не знают, то, что для Вас «компьютерная грамотность» для них «высокий профессионализм».
Колюсь/каюсь, работал админом на курсах повышения квалификации, один тамошний преподаватель заявила мне, что у нее внезапно (!) приложение «Блокнот» перестало открывать doc-файлы, при этом у нее стаж преподавания «информатики» для учителей школ был на то время лет 5.
mittus
12.12.2015 15:23Также пользовался MSSE с тех пор, как только узнал о нем. Испробовал его на всех подконтрольных мне win XP и 7. Начиная с 8-й версии MSSE предустановлен и включен в defender, что делает на мой взгляд полностью нецелесообразной установку альтернативных антивирусных программ даже «домохозяйками».
При этом чаще всего на моей памяти вирусы оказывались у тех, кто самостоятельно отключал и игнорировал все средства защиты действуя по «инструкции» предоставленной злодеями в комплекте со скачанным ими в непроверенном месте софтом )) Если подходить к выбору набора программ с умом и смотреть комментарии к тем же торрентам, то вероятность словить что-то стремится к нулю.
Лично у меня был единичный казус, когда я искал альтернативный софт тому, что использовал на win 7 при переходе на восьмерку, нарвался на «новых кодеках», которые должны были заменить еще не успевший обновиться в то время k-lite codec pack.
Sergey6661313
Ага и новая фича — невозможность отложить перезагрузку. Вылетает это долбаное окно поверх всех других. ппц…