В антивирусе Avast обнаружены критические уязвимости



    Летом 2015 года пользователи интернета широко обсуждали проблемы безопасности антивирусных инструментов. Напомним, тогда серьезные уязвимости были обнаружены в продуктах ESET, а затем и в BitDefender с Symantec. На текущей неделе стало известно об очередных проблемах с защитой антивирусного софта. Один из пользователей ресурса Google Code опубликовал описания и тестовые сценарии эксплуатации четырех серьезных уязвимостей антивируса Avast, две из которых являются критическими.

    Критические уязвимости: OOB-запись и переполнение кучи


    Первая описанная критическая уязвимость заключается в возможности OOB-записи в Avast Server Edition, что может приводить к расшифровке и запуску зашифрованных с помощью PEncrypt исполняемых файлов.

    Кроме того, еще одна ошибка безопасности приводит к переполнению кучи компонента AvastSvc.exe. Исследователю удалось эксплуатировать уязвимость с помощью зашифрованного и упакованного в MoleBox-архив изображения. Таким образом, возможно проведение удаленных атак, связанных с выполнением кода.

    Это еще не все


    Помимо двух критических, опубликована и информация о не столь серьезных, но все же заметных уязвимостях Avast. Так, одна из ошибок имеет высокую степень критичности и может приводить к атакам вида integer overflow. В том случае, если значение поля numFonts в TTC-заголовке превышает (SIZE_MAX+1) / 4, при вызове функции CSafeGenFile::SafeLockBuffer возникает целочисленное переполнение (integer overflow) в компоненте filevirus_ttf(). Описание формата TTC представлено по ссылке.

    Помимо этого, с помощью файла базы данных Microsoft Access исследователю удалось вызвать метод JetDb::IsExploited4x, в котором содержится ошибка, приводящая к возможности unbounded-поиска объектов — этой уязвимости присвоена средняя степень критичности.

    В описании представленных уязвимостей сказано, что все они к настоящему моменту устранены разработчиками антивирусного софта. При этом в публикациях на Google Code не указаны уязвимые версии Avast, поэтому эксперты Positive Technologies рекомендуют всем пользователям данного антивируса скачать последнюю актуальную версию с сайта разработчиков.

    Напомним, что некоторые спецслужбы очень интересуются уязвимостями в антивирусах: защитное ПО получает высокие привилегии доступа на компьютерах своих пользователей, поэтому взломанный антивирус позволяет следить за деятельностью тысяч людей, которые этим антивирусом пользуются. Именно поэтому почти одновременно со взломом ESET стало известно, что спецслужбы различных стран (в частности, Великобритании и США) изучали и пытались взломать продукты «Лаборатории Касперского».

    Comments 30

      +5
      Ага и новая фича — невозможность отложить перезагрузку. Вылетает это долбаное окно поверх всех других. ппц…
        +8
        Учитывая, что это говно прописывает свои сертификаты в браузере и подменяет ими https-трафик для якобы его «проверки», то возможности для атаки открываются весьма неплохие.
          –3
          Это не так плохо, ведь теперь любой сайт может получить сертификат. Который кстати не гарантирует, что с этого сайта не будут скачаны вирусы. Да и в любой антивирус встроен «ботнет» и он может забрать на свои сервера любой ваш файл.
            +5
            Любой mitm — плохо.
              +1
              Не всегда и не везде. Постараюсь раскрыть тему подробнее: если говорить именно с точки зрения безопасности и приватности то свой mitm для своей же маленькой локалки уровня домохозяйство (но не уровня предприятия и уж тем более не уровня провайдер или государство) это очень большое добро ибо можно приватность блюсти на шлюзе или дополнительном промежуточном устройстве за шлюзом. При этом снимаются ограничения на требования к используемому на конечных устройствах ПО и производительности оборудования ибо не надо на каждом устройстве городить механизмы фильтрации. Особенно это добро оказывается полезным в условиях когда надо проверить и пофильтровать от мусора трафик для мобильных устройств, которые все поголовно калькуляторы. Также это очень полезно когда с мобильного устройства выходишь в интернет через свой же VPN ибо весь мусор порежется уже на входе в свою сеть и не будет тащиться до конечного устройства канал до которого всегда гораздо хуже нормальной выделенной линии (значительные ограничения по скорости и (или) по трафику). Но есть и большие проблемы с подобными решениями, самая главная — единая точка отказа, с взломом которой произойдёт раскрытие вообще всех передаваемых данных, а в случае сбоя также накроется вся сеть.

              В общем, как по мне, нельзя однозначно сказать, что любой mitm-плохо и всё, в конечном итоге, упирается в классический баланс удобство vs безопасность + удобство vs надёжность.
                0
                P.S. ну и если не использовать mitm, то для применений, что я расписал выше вообще придётся использовать непрозрачный прокси, что костыль и ад в плане конфигурации на конечных устройствах и ограничений на ПО/протоколы, не говоря уже о дополнительно возникающих проблемах безопасности в локалке.

                P.P.S. оффтоп для топика, но для более полного раскрытия моего коммента выше полезно, ещё из «злых» для обывателя технологий: DPI в домашней локалке полезен и большое добро ибо позволяет вообще не заморачиваясь с настройками тяжёлого софта, например, торрентов или клиентов облачных хранилищ избежать проблем в работе SIP/Skype/Потокового видео на Youtube/подставить нужное… Конечно можно и без DPI руками всё настроить на основе DSCP на уровне приложений, но для этого опять же надо на каждую конечную машину установить софт который будет маркировать трафик приложений нужными значениями ибо единицы приложений делают это самостоятельно.
              0
              FAQ

              Картинка:

                0
                Вот только среднестатистический хомячок не полезет в настройки отключать фильтр ssl, потому что хомячок вообще боится лазить в настройки чего-либо, чтоб случайно что-нибудь не сломать. А по дефолту оно включено.
                  +2
                  Но ведь корневые сертификаты все равно устанавливаются.
                    +3
                    И даже если их ручками посносить эта «очень полезная» софтина пропишет их снова и от настроек это не зависит.

                    А сертификаты генерируются при установке и на каждой машине свои? Или же сгенерирован заранее (или по особому алгоритму) и у кого-то лежит ключик ко всем ssl соединениям?
                    Может есть у кого ответ на этот вопрос?
                –10
                Всем кто еще не вкурсе, что ставить домохозяйкам из антивирусов рекомендую китайский бесплатный антивирус с дополнительными движками avira и bitdeffender (их нужно включить после установки) www.360totalsecurity.com

                У него великолепный функционал по оптимизации компьютера: чистка темпов, рекомендации по отключению лишнего из автозагрузки, блокировщик фишинговых сайтов, всяких левых дистрибутивов с рекламами, скорость работы, неимоверная простота — вобщем маст хэв.прямо как увидел как гора с админских плечь: домохозяйки спасены. Очень надеюсь, что развитие продукта будет в том же векторе.
                  +2
                  минус только если вы работаете с визуал студией, он все exe при компиляции тоже грохает как подозрительные :-)
                    +3
                    Закопайте это говно, туда откуда выкопали. Несколько месяцев не могли понять, почему у некоторых пользователей файл не запускается. Оказалось, что он его просто удалял до запуска. Пришлось подписать сертификатом, чтобы отстал от него.
                      +1
                      несколько месяцев не могли понять что дело в антивирусе?? Подключиться к клиенту, проверить его проблему? Да, они такие и я считаю это преимуществом. Нечего домохозяйкам всякие exe с интернета неподписанные запускать. Ни одной проблемы с нормальным софтом я не встречал: от архиватора до системных утилит, фотошопов, вьюверов и прочего.
                        +5
                        Естественно было только предположение, но подтверждений не было. Да и подобное поведение не адекватно. Приложение публичное и «Подключиться к клиенту» невозможно. А баг репорт далеко не каждый пришлет. Большинство скажет, что ваш софт говно и пойдет искать дальше. Для примера скачайте и запустите: http://builds.libav.org/windows/release-gpl/libav-11.3-win32.7z
                        Точно не помню который из релизов. И да «вирус» ведь в файле не исчез его просто подписали :)
                          –5
                          С антивирусами у вас же не у первых проблема.)
                          www.virustotal.com/ru/file/59f82563bf5dfba95f7689ece0945b29228f94176ccc7bd473e64870827bf080/analysis/1449782636
                          Да, он его определяет как троян. Пишите в поддержку. Ну так он же для домохозяек. Какой домохозяйке придет в голову качать утилиты для коммандной строки? Поглощая ваш софт в целом мир для домохозяек чище. Что то я сомневаюсь. что чувак качая libav недопетрит про антивирус… и скажет «ваш софт говно и пойдет искать дальше». libav отличный софт. Спасибо.
                            +4
                            <troll mode="on">
                            
                            Потому что надо пользоваться кошерным ffmpeg, а не недо-libav, на который даже в дебиане решили забить болт и вернуться обратно к прародителю
                            </troll>
                            
                      0
                      А как по вашему этот бесплатный китайский антивирус зарабатывает деньги, чтобы поддерживать и развивать весь этот великолепный функционал? Подсказка: бесплатный сыр только в мышеловке.
                        0
                        Ну развивайте вашу мысль, я вас слушаю внимательно. Я насмотрелся на авасты и подобные бесплатные антивирусы. Все в рекламе и как то вот… проигрывают по функционалу и детекции в моем случае.
                          +2
                          Платных продуктов у них нет, рекламу их антивирус не показывает. Становится достаточно очевидно, что единственный доступный источник их заработка — продажа трафика и данных пользователя.
                            0
                            Ну то есть вы хотите сказать, что это разновидность malware, которую не палят другие антивирусы? Это ваши догадки или кто-то нашел подозрительную активность? Или эта активность неподозрительна или ее нет?

                            Qihoo 360 монетизирует свою базу пользователей через Интернет-рекламу и другие дополнительные платные услуги.
                              0
                              Хочу сказать, что не стоит доверять приложению, имеющему доступ ко всем файлам, трафику и реестру без внятной модели монетизации, ещё и от китайских разработчиков. Да и уязвимостей там тоже может быть куча, просто их не афишируют.
                                0
                                Ну так можно про любой софт на компе сказать :-). А уж если от китайцев то все — точно палево?)))
                                Если судить по их сайту — то выглядят они далеко не лохами.

                                Заголовок спойлера
                                Qihoo 360 входит в тройку ведущих компаний, производящих продукцию для Интернета, по размеру базы пользователей.
                                №1 — поставщик услуг обеспечения безопасности в Интернете в Китае по размеру базы пользователей
                                №1 — производитель веб-браузеров в Китае
                                №1 — магазин мобильных приложений в Китае
                                №2 — поисковая система в Китае

                      +1
                      Пользуюсь MSSE c 2011 года — с тех пор ни одного «вируса», 2 переустановки винды, связанные лишь с обновлением железа. Ну и да, я не «домохозяйка», exe запускаю только скаченные с торрентов с просмотром комментариев, на вин 8-10 еще не переходил =)
                      Ставил его в организации (до 10 машин), и знакомым (в том числе «домохозяйкам») на компы — еще не жаловались, переустановить/удалить не просили.
                        0
                        ну уже кучу раз говорили, что для того чтобы пользоваться виндой и все было нормально нужно быть как минимум продвинутым пользователем
                          0
                          Один раз винда сама поставила какие-то глюкавые драйвера к видеокарте и после загрузки вводила ее в несовместимый с монитором режим.
                            0
                            Если настроить ограничения в винде, то нормально будет все и не у продвинутого пользователя!
                            Андройд-linux. И что там у всех все нормально ???
                            Почему в школе учат else if и как в «конретной версии ворда сделать табличку», но не учат азам компьютерной грамотности??!
                              0
                              если настроить — никто не спорит.
                              ну линукс такие пользователи и не ставят, а телефоны работают нормально вроде как.
                              в школе? потому что в школе на уроке информатике дети пытаются хотя-бы одного учителя научить пользоваться компом :)
                                0
                                Золотые слова! Учителя в школах этого сами не знают, то, что для Вас «компьютерная грамотность» для них «высокий профессионализм».
                                Колюсь/каюсь, работал админом на курсах повышения квалификации, один тамошний преподаватель заявила мне, что у нее внезапно (!) приложение «Блокнот» перестало открывать doc-файлы, при этом у нее стаж преподавания «информатики» для учителей школ был на то время лет 5.
                            0
                            Также пользовался MSSE с тех пор, как только узнал о нем. Испробовал его на всех подконтрольных мне win XP и 7. Начиная с 8-й версии MSSE предустановлен и включен в defender, что делает на мой взгляд полностью нецелесообразной установку альтернативных антивирусных программ даже «домохозяйками».

                            При этом чаще всего на моей памяти вирусы оказывались у тех, кто самостоятельно отключал и игнорировал все средства защиты действуя по «инструкции» предоставленной злодеями в комплекте со скачанным ими в непроверенном месте софтом )) Если подходить к выбору набора программ с умом и смотреть комментарии к тем же торрентам, то вероятность словить что-то стремится к нулю.

                            Лично у меня был единичный казус, когда я искал альтернативный софт тому, что использовал на win 7 при переходе на восьмерку, нарвался на «новых кодеках», которые должны были заменить еще не успевший обновиться в то время k-lite codec pack.

                          Only users with full accounts can post comments. Log in, please.