IMHO.WS - Показать сообщение отдельно - Антивирус Касперского: Проблемы и решения

ingvar1972 · 31.05.2006, 23:30

Вот что выложили касперские

---------------------------------------------------------------------------
Kaspersky Anti-Virus 6.0 и Internet Security 6.0 - ошибки в парсерах протоколов HTTP веб-антивируса и POP3 почтового антивируса

В результате публикации неизвестным исследователем двух сообщений на форуме Security Focus (первое, второе), в российском сегменте интернета разыгралась бурная дискуссия (например, здесь).

Суть дискуссии заключается в том, что, согласно приведенным выше сообщениям, парсер HTTP-модуля веб-антивируса KIS 6.0 ошибается в обработке протокола HTTP, если запрос к серверу посылается побайтно. При этом автор сообщений обозначил данную ошибку как критическую и подверг сомнению общую работоспособность комплекса Kaspersky Internet Security 6.0.
Официальное заявление «Лаборатории Касперского»

Мы согласны с тем, что сформированный подобным образом запрос не будет обработан веб-антивирусом Kaspersky Internet Security 6.0.

Однако мы утверждаем, что распространенные браузеры (MS Internet Explorer, Mozilla Firefox, Opera) и программы-даунлоадеры никогда не посылают запрос к серверу в таком виде.

Подобный код может быть исполнен только извне браузера, силами отдельно запущенной программы. Программы, осуществляющие подобные действия (скачивание на компьютер вредоносных программ в обход систем защиты компьютера), выделены в отдельный класс вредоносных программ — Trojan-Downloader.

Более того, программы этого класса не стеснены рамками протокола HTTP и могут использовать любое шифрование и любой протокол для скачивания malware.

Модуль веб-антивируса KIS 6.0 не предназначен для борьбы с запущенным на компьютере процессом Trojan-Downloader. Для борьбы с подобными видами вредоносных программ в продукте Kaspersky Internet Security 6.0 предусмотрены следующие модули:
Антихакер
Проактивная защита
Файловый антивирус

Таким образом, программный комплекс KIS 6.0 обеспечивает полную защиту компьютера пользователя, и опубликованная «уязвимость» никак не влияет на безопасность компьютера.

Второй представленный на форуме сайта Security Focus скрипт, демонстрирующий уязвимость в парсере протокола POP3, имитирует не почтовую программу (ни один почтовый клиент так не работает), а снова Trojan-Downloader. То есть, демонстрируется не уязвимость в защите почтового трафика при помощи KIS 6.0, а вредоносная программа, которая позволяет скачивать вирусы по протоколу POP3 в обход модуля защиты протокола POP3 KIS 6.0.

Другими словами, чтобы воспользоваться этой уязвимостью для скачивания вредоносной программы в обход защиты KIS 6.0 необходимо запустить особую вредоносную программу, которая не является почтовым клиентом — то есть, обычному пользователю, работающему с почтой из какого-либо обычного распространенного почтового клиента по протоколу POP3 эта уязвимость никак не угрожает.

Для предотвращения возможности заражения посредством использующих данную уязвимость специально написанных программ в середине следующей недели «Лаборатория Касперского» выпустит соответствующие hotfix'ы для продуктов Kaspersky Anti-Virus 6.0 и Internet Security 6.0.

«Лаборатория Касперского» сожалеет о том, что потенциально опасная информация была сразу опубликована в открытом доступе вместо того, чтобы, как принято поступать в антивирусном сообществе, сообщить об обнаруженной проблеме разработчикам программного комплекса.
--------------------------------------------------------------------------

Ссылки из сообщения:
_http://www.anti-malware.ru/phpbb/viewtopic.php?t=769
_http://www.securityfocus.com/archive/1/435000/30/0/threaded
_http://www.securityfocus.com/archive/1/434827/30/0/threaded

31.05.2006, 23:30	# 548
ingvar1972 Junior Member Регистрация: 20.04.2006 Сообщения: 55	Вот что выложили касперские --------------------------------------------------------------------------- Kaspersky Anti-Virus 6.0 и Internet Security 6.0 - ошибки в парсерах протоколов HTTP веб-антивируса и POP3 почтового антивируса В результате публикации неизвестным исследователем двух сообщений на форуме Security Focus (первое, второе), в российском сегменте интернета разыгралась бурная дискуссия (например, здесь). Суть дискуссии заключается в том, что, согласно приведенным выше сообщениям, парсер HTTP-модуля веб-антивируса KIS 6.0 ошибается в обработке протокола HTTP, если запрос к серверу посылается побайтно. При этом автор сообщений обозначил данную ошибку как критическую и подверг сомнению общую работоспособность комплекса Kaspersky Internet Security 6.0. Официальное заявление «Лаборатории Касперского» Мы согласны с тем, что сформированный подобным образом запрос не будет обработан веб-антивирусом Kaspersky Internet Security 6.0. Однако мы утверждаем, что распространенные браузеры (MS Internet Explorer, Mozilla Firefox, Opera) и программы-даунлоадеры никогда не посылают запрос к серверу в таком виде. Подобный код может быть исполнен только извне браузера, силами отдельно запущенной программы. Программы, осуществляющие подобные действия (скачивание на компьютер вредоносных программ в обход систем защиты компьютера), выделены в отдельный класс вредоносных программ — Trojan-Downloader. Более того, программы этого класса не стеснены рамками протокола HTTP и могут использовать любое шифрование и любой протокол для скачивания malware. Модуль веб-антивируса KIS 6.0 не предназначен для борьбы с запущенным на компьютере процессом Trojan-Downloader. Для борьбы с подобными видами вредоносных программ в продукте Kaspersky Internet Security 6.0 предусмотрены следующие модули: Антихакер Проактивная защита Файловый антивирус Таким образом, программный комплекс KIS 6.0 обеспечивает полную защиту компьютера пользователя, и опубликованная «уязвимость» никак не влияет на безопасность компьютера. Второй представленный на форуме сайта Security Focus скрипт, демонстрирующий уязвимость в парсере протокола POP3, имитирует не почтовую программу (ни один почтовый клиент так не работает), а снова Trojan-Downloader. То есть, демонстрируется не уязвимость в защите почтового трафика при помощи KIS 6.0, а вредоносная программа, которая позволяет скачивать вирусы по протоколу POP3 в обход модуля защиты протокола POP3 KIS 6.0. Другими словами, чтобы воспользоваться этой уязвимостью для скачивания вредоносной программы в обход защиты KIS 6.0 необходимо запустить особую вредоносную программу, которая не является почтовым клиентом — то есть, обычному пользователю, работающему с почтой из какого-либо обычного распространенного почтового клиента по протоколу POP3 эта уязвимость никак не угрожает. Для предотвращения возможности заражения посредством использующих данную уязвимость специально написанных программ в середине следующей недели «Лаборатория Касперского» выпустит соответствующие hotfix'ы для продуктов Kaspersky Anti-Virus 6.0 и Internet Security 6.0. «Лаборатория Касперского» сожалеет о том, что потенциально опасная информация была сразу опубликована в открытом доступе вместо того, чтобы, как принято поступать в антивирусном сообществе, сообщить об обнаруженной проблеме разработчикам программного комплекса. -------------------------------------------------------------------------- Ссылки из сообщения: _http://www.anti-malware.ru/phpbb/viewtopic.php?t=769 _http://www.securityfocus.com/archive/1/435000/30/0/threaded _http://www.securityfocus.com/archive/1/434827/30/0/threaded