Как вы уже, наверное, читали, пару недель назад организация AMTSO провела очередное заседание. Позиция AMTSO состоит в том, что результаты тестов должны максимально отражать реальную эффективность защиты, обеспечиваемой каждым продуктом в целом.

На заседании мы приняли два новых документа. Первый относится к тестированию продукта в целом, второй — к тестированию его производительности. По мнению большинства представителей антивирусной индустрии, прежние тесты никогда по-настоящему не отражали реальную производительность. Учитывая изменения, которые претерпели компьютерные угрозы за последние несколько лет, эта проблема сейчас актуальна как никогда.

Итак, вместо тестов, ориентированных на анализ работы отдельных компонентов, следует проводить тестирование уровня обнаружения — вернее, уровня защиты от угроз, — который обеспечивается продуктом в целом. Например, легко представить себе ситуацию, когда вредоносная программа, распространяемая по электронной почте, не обнаруживается файловым сканером, но при этом антиспам классифицирует сообщение, содержащее этот файл, как спам.

Во втором документе говорится о том, как увеличить достоверность тестов производительности — или скорости — антивирусных решений и их влияния на работу компьютера. Это может быть важно, в частности, при определении объема оперативной памяти, занимаемой продуктом. Многие решают эту задачу путем сложения объемов (виртуальной) памяти, занимаемой всеми принадлежащими продукту процессами. Однако некоторые продукты внедряют свои библиотеки DLL в другие процессы, невольно скрывая часть потребляемых ими ресурсов. Поэтому правильнее сравнивать суммарное потребление оперативной памяти каждым продуктом в целом.

Плохие новости (замечу в шутку) связаны с одним из новых документов, над которыми мы продолжили работу в Хельсинки. Документ по тестированию на предмет ложных срабатываний оказался крепким орешком и вызвал массу споров. В частности, особенно сложными оказалисьвопросы, относящиеся к сфере моих интересов и касающиеся тестирования продуктов на наличие ложных срабатываний на веб-ресурсах, таких как домены и веб-скрипты.

Не вызывает сомнений, что тестовые лаборатории продолжают совершенствовать свои тесты, чтобы они более точно моделировали ситуации, возникающие в реальной жизни. И это прекрасно прежде всего по двум причинам. Важнее всего то, что благодаря этому пользователи получают более качественную информацию. Кроме того, это позволяет производителям антивирусов сосредоточить свои ресурсы на том, что реально помогает защищать пользователей. Поэтому наши успехи в рамках AMTSO очень радуют.

Если вы еще не читали документы, о которых идет речь, сходите на сайт AMTSO и поглядите!

Компания Symantec выпустила обновления для своего продукта Symantec AntiVirus Corporate Edition и Symantec Client Security и ликвидировала опасные бреши, обнаруженные в них на прошлой неделе, сообщает сайт News.com.

Пользователям Symantec AntiVirus Corporate Edition и Symantec Client Security следует скачать выпущенное обновление как можно скорее, заявил руководитель Symantec Security Response Винсент Уифер (Vincent Weafer). Вместе с тем он отметил, что атак через указанную брешь не зафиксировано, а значит, в обновлении продуктов нет острой необходимости.

Уязвимость в продуктах Symantec на прошлой неделе обнаружили эксперты компании eEye Digital Securit. Уязвимость, используя которую хакеры могли переполнить буфер, позволяла запускать вредоносный код на атакуемом компьютере. С учетом широкого распространения программных продуктов Symantec, уязвимость могла стать причиной серьезной вирусной эпидемии.

Широко распространенные программные продукты — своего рода низковисящие плоды для хакеров, отмечают аналитики. По мере того, как число легко используемых брешей в Microsoft Windows сокращается, хакеры ищут бреши в защитных программах. «Большее количество глаз смотрят на эти уязвимости. Этот урок позволит нам определить, надо ли нам что-нибудь менять в процессе программирования», — заявил Уифер.

Опасная брешь обнаружена в программных продуктах Symantec Client Security 3.1 и AntiVirus Corporate Edition 10.1, сообщает Reuters со ссылкой на экспертов компании eEye Digital Security. По их словам, выявленная уязвимость позволяет хакеру создать червя, способного устанавливать контроль над атакуемой машиной и уничтожать важные программы и файлы.

Эксперты eEye Digital Security относят уязвимость к очень серьезным, поскольку она позволяет киберпреступникам управлять компьютером без каких-либо действий со стороны пользователя. «Гипотетически эта уязвимость может вылиться в интернет-червя. Это брешь, которую можно использовать из другого места и которая обеспечивает хакеру доступ на системном уровне», — заявил пресс-секретарь eEye Digital Security Майк Путербо (Mike Puterbaugh).

Червь — это вредоносная компьютерная программа, которая распространяется, рассылая по сети собственные копии. Большинство вредоносных современных программ — черви, поскольку почти все компьютеры сейчас подключены к сети.

Представители Symantec расследуют инцидент и утвержают, что он никак не затрагивает линейку продуктов под маркой Norton. «Для всех уязвимостей уже определены средства локализации, и работа над этими средствами продолжается сейчас. На текущий момент Symantec не получала никаких отчетов об эксплойтах для обнаруженной уязвимости», — говорится в заявлении компании.

Брешь в продуктах Symantec выявлена в то время, когда эксперты по интернет-безопасности отмечают общий перелом в киберпреступлениях. Злоумышленники теперь совершают преступления для получения финансовой выгоды, а не для того, чтобы прославиться с помощью глобальных сетевых атак. Число крупных вирусных инцидентов снижается с 2003 года, в котором была зафиксирована масштабная вирусная эпидемия с участием червя Blaster.

К публикации данной заметки меня подтолкнул интерес, проявляемый со стороны интернет-сообщества к информации об уязвимости в KIS 6.0. Выявленная ошибка заключается в некорректной обработке особым образом сформированных HTTP-запросов. Мы, безусловно, признаем наличие данной уязвимости, и обновления для ее устранения будут доступны нашим пользователям в ближайшее время.

Но следует отметить, что нашедший уязвимость исследователь покривил душой, присвоив ей статус критической.

Единственное, что позволяет сделать данная уязвимость — скачать детектируемый ранее KIS 6.0 вредоносный файл без его последующей активации в обход веб-антивируса. Кроме того, распространенные браузеры (MS Internet Explorer, Mozilla Firefox, Opera) никогда не посылают запрос к серверу в таком виде, и выполнен подобный запрос может быть только извне браузера, сторонней вредоносной программой. Подобные программы мы классифицируем как Trojan-Downloader.

Наконец, даже успешно скачанный подобным способом вредоносный файл не представляет реальной угрозы пользователям, т.к. будет заблокирован на этапе сохранения на диск или запуска другими подсистемами KIS 6.0.

В описанной выше ситуации нас удивили поступки человека, нашедшего эту ошибку. В силу своей профессиональной деятельности он наверняка знаком с негласной практикой и этикой поведения в подобных ситуациях — о найденной уязвимости принято уведомлять разработчиков и давать им не менее 7 дней на исправление ошибки. Но, несмотря на это, исследователь опубликовал информацию об уязвимости без предварительного контакта с «Лабораторией Касперского».

Мы обращаемся ко всем читателям веблога с убедительной просьбой сообщать «Лаборатории Касперского» об обнаруживаемых в наших продуктах ошибках. Это позволит нам своевременно выпускать исправления, не подвергая ненужному риску наших пользователей — даже если этот риск крайне невысок.

Эксперты в области информационной безопасности выявили три бреши в программном продукте Symantec Scan Engine, используемом для антивирусной защиты сетевого трафика, сообщает сайт Networldwork.com. Бреши позволяют хакерам получить контроль над сервером, который находится под защитой Scan Engine. Наиболее серьезная брешь связана с механизмом аутентификации Scan Engine, отмечают специалисты бостонской компании Rapid7, обнаружившие все три уязвимости.

Rapid7 сообщила Symantec о проблемах со Scan Engine в январе текущего года. Symantec ликвидировала бреши, выпустив недавно Scan Engine 5.1. «Symantec настоятельно рекомендует всех клиентам немедленно провести обновления своих версий продуктов, чтобы защититься от подобных угроз», — говорится в заявлении компании.

Scan Engine — серверное приложение, которое позволяет разработчикам внедрять технологию Symantec в свои собственные продукты. Бреши, выявленные Rapid7, не имеют никакого отношения к программам для рабочих станций.

Уязвимость в механизме аутентификации Scan Engine позволяет получить контроль над сервером любому, кто понимает, как работает коммуникационный протокол этого программного продукта.

Для определения пользователя Scan Engine использует Java-апплет на клиентской стороне. При этом сам сервер, работающий под защитой Scan Engine, никогда не проверяет результаты аутентификации пользователя. Это означает, что хакеры могут получить контроль над сервером, отправляя собственные XML-запросы через серверный протокол.

«Это совершенная схема фальшивой аутентификации. Эта уязвимость существовала в приложении с самого первого дня. Мы первые люди, которые заглянули в протокол», — рассказал представитель Rapid7.

По мнению старшего аналитика компании Cybertrust Русса Купера (Russ Cooper), подобная ошибка в коммерческом программном обеспечении — очень необычное явление. «Они определенно сделали неправильный выбор, позволив идентифицировать пользователя апплету, а не серверу. Я не могу представить систему, где вы сообщаете свои данные клиентской программе, а она пересылает их серверу», — заявил Купер и добавил, что в большинстве случаев защититься от взлома системы через брешь в Scan Engine можно с помощью межсетевого экрана.

Финская компания-производитель антивирусных программ F-Secure выпустила патчи для основной линейки своих продуктов, сообщает сайт Securitypipeline.com. Выпущенные обновления позволяют ликвидировать бреши в антивирусах для платформ Windows и Linux, обнаруженные независимым исследователем из Люксембурга Тьерри Золлером (Thierry Zoller).

Уязвимости в продуктах Anti-Virus, Internet Gatekeeper и Internet Security связаны с обрабаткой zip- и rar-архивов. Таким образом, с помощью специально модифицированного zip-архива злоумышленники могут переполнить буфер на компьютерах, защищенных программами F-Secure, и загрузить в них свой собственный код. Вторая уязвимость с помощью специального zip- или rar-архива позволяет спрятать вредоносных код от антивирусного сканера и дать пользователю ложное чувство безопасности.

F-Secure охарактеризовала уязвимости как «критические». Патчи для них могут быть скачаны с ftp-серверов компании в Хельсинки. «Наши рекомендации аналогичны рекомендациям, которые создаются для патчей любыми другими разработчиками. Обновить программу надо прежде, чем кто-нибудь поймет, как воспользоваться незакрытой брешью. В данный момент мы не оповещены о каких-либо атаках, связанных с этими уязвимостями», — прокомментировал ситуацию руководитель антивирусных исследований F-Secure Микко Хиппонен.

Быстрая реакция F-Secure на уязвимость оказалась контрастной в сравнении с реакцией компании Symantec. 21 декабря прошлого года в 60 продуктах этой компании была обнаружена уязвимость. Последний уязвимый продукт Symantec был обновлен лишь 18 января.

В антивирусном программном обеспечении Symantec обнаружена опасная уязвимость. Она позволяет посторонним лицам контролировать систему, «защищенную» антивирусом, сообщает сайт News.com со ссылкой на датскую компанию Secunia. Датчане характеризуют обнаруженную уязвимость как «высококритичную».

Сами разработчики антивируса также характеризуют брешь как «высококритичную» и отмечают, что она присутствует в целом ряде программных продуктов. В их числе — Symantec AntiVirus, Symantec Norton AntiVirus и Symantec Norton Internet Security, как для Windows, так и для Macintosh платформ.

Источник уязвимости находится в антивирусной библиотеке Symantec, которая обеспечивает поддержку формата файлов для вирусного анализа. «Во время разархивирования RAR-файлов, Symantec оказывается уязвимым для хакеров, которые могут получить полный контроль над системой. Эта уязвимость может использоваться удаленно, без какого-либо участия пользователя антивируса, с обычными конфигурациями и обычными протоколами, например, SMTP», — рассказал консультант Алекс Уиллер (Alex Wheeler), первым обнаруживший уязвимость.

Symantec пока не предлагает решения выявленной проблемы. Тем временем, Уиллер рекомендует пользователям «отключить сканирование RAR-архивов до тех пор, пока уязвимый код не будет исправлен».

Серьезная уязвимость обнаружена в системе безопасности антивирусного программного пакета Symantec AntiVirus 9 Corporate Edition, сообщает сайт TechWeb.

Брешь в антивирусном программном пакете позволяет неавторизованному пользователю просматривать лог-файлы с логинами и паролями пользователей в текстовом виде, которые используются при подсоединении к серверу обновлений антивирусных баз. В лог-файле также содержится информация о названии сервера, его IP-адресе, протоколе соединения. «Уязвимость дает возможность для проведения локальных атак, в ходе которых злоумышленник может получить данные для доступа к серверу. Это может привести к дополнительным атакам, результатом которых может стать отказ сервера», — говорится в сообщение Bugtraq.

По информации компании VeriSign iDefense, уязвимость в Symantec AntiVirus 9 Corporate Edition является копией бреши, обнаруженной в 2002 году в 7 версии антивируса Symantec. Старая брешь присутствовала в HTML-файлах с описанием правил пользования программным продуктом и позволяла получить неавторизованный доступ ко всем файлам уязвимой машины.

Со снижением количества уязвимостей в операционной системе Windows хакеры начинают обращать внимание на бреши в антивирусных программных продуктах. К такому выводу приходят аналитики из компании Yankee Group, сообщает сайт News.com.

ОС Windows долгое время была самым привлекательным объектом для компьютерных преступников, однако сейчас бреши значительно быстрее и чаще появляются в антивирусных продуктах, отмечают в Yankee Group. В течение 15-месячного периода, который заканчивается 31 марта, разработчики антивирусов обнаружили в своих продуктах 77 уязвимостей. Существенный рост брешей был зафиксирован в программах компаний Symantec, F-Secure и CheckPoint Software Technologies.

Если существующая ситуация сохранится, число уязвимостей в антивирусных продуктах в этом году будет на 50 процентов больше, чем в прошлом. Yankee Group прогнозирует «нарастающую волну» брешей в антивирусных и антихакерских продуктах и призывает разработчиков тщательнее контролировать процессы безопасности при создании своих продуктов.

В антивирусном программном обеспечении британской компании Sophos обнаружена уязвимость, которая позволяет загружать зараженные файлы на жесткий диск компьютера, сообщает сайт vnunet.com. В ходе загрузки файлов на жесткий диск они не проходят проверку антивирусным сканером. В результате зараженные файлы при перезагрузке компьютера активируются раньше, чем антивирусная программа.

Уязвимость обнаружена в антивирусном пакете Sophos версии 3.93. Компания рекомендует всем пользователям как можно скорее обновить антивирусную программу до версии 5.0.1. «Мы не получали никаких сообщений об указанной проблеме от пользователей последней на данный момент версии антивирусного программного обеспечения Sophos», — заявил главный технический консультант компании Грэхем Клюли (Graham Cluley).

Клюли подчеркнул, что программы Sophos могут сканировать файлы в момент сохранения на жесткий диск, однако эта функция обычно оказывается невостребованной и отключается по умолчанию.