Обновление было доставлено всем версиям AV-продуктов для всех наших пользователей. Уязвимость не затронула антивирусный движок в целом, а присутствовала в конкретной функции эмуляции, которая использовалась им для выявления конкретного семейства вредоносного ПО. Для этого не потребовалось обновлять сам продукт, обновление было выпущено совместно с антивирусными базами.
В Windows 8+ была добавлена специальная функция для exploit mitigation — kernel32!SetProcessMitigationPolicy [PROCESS_MITIGATION_SYSTEM_CALL_DISABLE_POLICY]. Chrome использует ее.
Во-первых, вредоносная программа действительно может заражать iOS без jb, это факт.
Во-вторых, подтверждение на установку IPA относится к системе безопасности iOS, а не к вредоносной программе.
В-третьих, настройки этой системы безопасности могут отличаться от версии iOS или используемых настроек безопасности устройства.
Вектор атаки — документ Office, у которого внутри специальный файл .ttf с шелл-кодом. Пользователь открывает документ и уязвимость позволяет исполниться шелл-коду из ttf, причем сразу в режиме ядра. MS не публикует данные о присутствии в WinXP этой уязвимости, хотя скорее всего она есть и там. Для предотвращения эксплуатации без обновления, можно воспользоваться Workaround — ограничить доступ к библиотеке t2embed.dll, которая привлекается для операции разбора содержимого ttf.
Если речь про -4114, EMET не поможет. Это не memory-corruption и там не используется ни ROP ни -spray ни StackPivot для обхода DEP & ASLR. Остальные три относятся к win32k, EMET здесь ни при чем. От них может помочь SMEP и прочие mitigations Win8 & 8.1.
В чем желтизна? Жертвами этих групп становились страны восточной Европы, включая, Польшу. Все они входят в блок НАТО. Содержание документов также относилось к блоку. Ссылки на ресерч даны.
Такая информация может быть разглашена только после выхода фикса, все найденные уязвимости были отправлены вендорам. Как и во всех других случаях анализ и поиск осуществляется с использованием приватных фаззеров с последующей разработкой стабильного эксплойта для найденной уязвимости и с учетом специфики самого браузера.
Во-первых, вредоносная программа действительно может заражать iOS без jb, это факт.
Во-вторых, подтверждение на установку IPA относится к системе безопасности iOS, а не к вредоносной программе.
В-третьих, настройки этой системы безопасности могут отличаться от версии iOS или используемых настроек безопасности устройства.