С Компьюленты (http://security.compulenta.ru/233437/)
"Лаборатория Касперского" заделала дыру в своих антивирусах
14 октября 2005 года, 12:56
Текст: Владимир Парамонов
Компания "Лаборатория Касперского" выпустила ряд патчей для своих программных продуктов, устраняющих критически опасную уязвимость в модуле обработки архивов в формате CAB.
О наличии дыры в начале текущего месяца сообщил эксперт по вопросам сетевой безопасности Алекс Уилер. Проблема, связанная с ошибкой переполнения в компоненте cab.ppl, проявляется при обработке сформированных специальным образом САВ-файлов. При использовании антивирусного монитора, когда все файлы сканируются на лету, любое обращение к такому архиву (например, просмотр письма с вложением или открытие папки с файлом) приведет к автоматическому выполнению вредоносного кода.
Выпущенные компанией "Лаборатория Касперского" апдейты устраняют уязвимость, а также решают проблему некорректной активизации обновлений на устаревших версиях "Антивируса Касперского Personal".
Заплатки рекомендуется загрузить пользователям программных продуктов "Антивирус Касперского Personal" версий 5.0.227 и ниже и "Антивирус Касперского 5.0 для Windows Workstation" версий 5.0.177, 5.0.200 и 5.0.205. Кстати, в случае "Антивирусом Касперского 5.0 для Windows Workstation" скачать патчи можно исключительно в ручном режиме. Разработчики отмечают, что это вынужденная мера, обусловленная тем, что массовая передача значительных объемов данных в автоматическом режиме привела к перегрузке серверов обновлений в период с 11 по 12 октября.
Более подробную информацию можно найти на этой странице (http://www.kaspersky.ru/faq?qid=171868550), заплатки для программных продуктов "Лаборатории Касперского" доступны здесь. (http://www.kaspersky.ru/productupdates?chapter=147083907)
------------------
Отсебятина. Однако, и на старуху бывает проруха :rolleyes:
Дырки бывают и у Nortona - http://lenta.ru/articles/2005/10/07/av/ (http://lenta.ru/articles/2005/10/07/av/)
В последние годы ... - например, ставились эксперименты по эксплуатации "дырявых" медиаплейеров с помощью зараженных mp3-файлов, ходят слухи о "критичных" уязвимостях форматов .jpg и .bmp, но массовых эпидемий такого рода зафиксировано не было (если бы уязвимости носили действительно критичный характер, эпидемии обязательно бы произошли). Тем не менее, эксперименты на эту тему продолжаются, и именно антивирусные программы сейчас стали объектом пристального внимания "исследователей". Исследователи ищут такие "дыры", которые вызывали бы выполнение произвольного кода при проверке файла на наличие в нем вирусов. И находят.
Тот самый Алекс Вилер уже не первый месяц мучает разные антивирусы, пытаясь создать такой "невинный с виду" файл, который бы приводил к критичной ошибке (в первую очередь это так называемое "переполнение буфера") антивирусной программы при попытке той прочитать информацию о свойствах проверяемого объекта. Вилеру ранее удалось "вскрыть" несколько малораспространенных антивирусных средств, а накануне ему наконец-то попалась "крупная рыба" - уязвимым оказался один из базовых модулей целой серии продуктов "Лаборатории Касперского". Выяснилось, что популярные российские антивирусы "ломаются", если им подсунуть особым образом сконструированный "архив" в формате .cab (это стандарт архива, применяющийся в дистрибутивах Windows) - происходит переполнение буфера и выполнение заложенного в cab-файле произвольного кода. Такой "архив" можно, например, прислать жертве по почте (для большей конспирации предварительно упаковав в другой архив - антивирусы умеют их распаковывать), рассчитывая на то, что жертва при получении произведет антивирусную проверку файла (проверка может быть и автоматизированной, что еще более усугубляет ситуацию).
Спустя считанные дни после появления отчета Вилера, датированного 3 октября, "Лаборатория" выпускает заплатку, закрывающую дыру, и в этот же день появляется сообщение об обнаруженной критичной дыре в серии продуктов мирового лидера антивирусного рынка - компании Symantec (владельца бренда Norton). "Дыра" проявляет себя при работе с web-интерфейсом "движка" Symantec Antivirus Scan Engine, который используется при удаленном управлении антивирусной защитой, что позволяет проводить атаки на корпоративные сети. Symantec признала серьезность проблемы и также срочно выпустила обновление, призвав всех своих покупателей незамедлительно его установить.
Таким образом, по выражению исследовательской фирмы Yankee Group, антивирусные программы представляют из себя "низко висящий плод" для хакеров, теснимых усиливающимися охранными инициативами государств и бизнеса. Соответственно, с новой остротой встает вопрос о качестве антивирусов и о разнице между заявляемыми и реальными их возможностями.