Летом 2015 года пользователи интернета широко обсуждали проблемы безопасности антивирусных инструментов. Напомним, тогда серьезные уязвимости были обнаружены в продуктах ESET, а затем и в BitDefender с Symantec. На текущей неделе стало известно об очередных проблемах с защитой антивирусного софта. Один из пользователей ресурса Google Code опубликовал описания и тестовые сценарии эксплуатации четырех серьезных уязвимостей антивируса Avast, две из которых являются критическими.
Критические уязвимости: OOB-запись и переполнение кучи
Первая описанная критическая уязвимость заключается в возможности OOB-записи в Avast Server Edition, что может приводить к расшифровке и запуску зашифрованных с помощью PEncrypt исполняемых файлов.
Кроме того, еще одна ошибка безопасности приводит к переполнению кучи компонента AvastSvc.exe. Исследователю удалось эксплуатировать уязвимость с помощью зашифрованного и упакованного в MoleBox-архив изображения. Таким образом, возможно проведение удаленных атак, связанных с выполнением кода.
Это еще не все
Помимо двух критических, опубликована и информация о не столь серьезных, но все же заметных уязвимостях Avast. Так, одна из ошибок имеет высокую степень критичности и может приводить к атакам вида integer overflow. В том случае, если значение поля numFonts в TTC-заголовке превышает (SIZE_MAX+1) / 4, при вызове функции CSafeGenFile::SafeLockBuffer возникает целочисленное переполнение (integer overflow) в компоненте filevirus_ttf(). Описание формата TTC представлено по ссылке.
Помимо этого, с помощью файла базы данных Microsoft Access исследователю удалось вызвать метод JetDb::IsExploited4x, в котором содержится ошибка, приводящая к возможности unbounded-поиска объектов — этой уязвимости присвоена средняя степень критичности.
В описании представленных уязвимостей сказано, что все они к настоящему моменту устранены разработчиками антивирусного софта. При этом в публикациях на Google Code не указаны уязвимые версии Avast, поэтому эксперты Positive Technologies рекомендуют всем пользователям данного антивируса скачать последнюю актуальную версию с сайта разработчиков.
Напомним, что некоторые спецслужбы очень интересуются уязвимостями в антивирусах: защитное ПО получает высокие привилегии доступа на компьютерах своих пользователей, поэтому взломанный антивирус позволяет следить за деятельностью тысяч людей, которые этим антивирусом пользуются. Именно поэтому почти одновременно со взломом ESET стало известно, что спецслужбы различных стран (в частности, Великобритании и США) изучали и пытались взломать продукты «Лаборатории Касперского».