Лаборатория Касперского выпускает экстренный патч для исправления критической уязвимости

07.09.2015 | 23:48 Экономика

Уязвимость в антивирусных продуктах Касперского может быть использована для взлома компьютеров

Лаборатория Касперского выпустила экстренный патч для некоторых из своих антивирусных продуктов после того, как исследователь безопасности обнаружил критическую уязвимость, которая позволяла хакерам взламывать компьютеры.

Уязвимость была обнаружена исследователем и инженером по безопасности Google Тависом Орманди, который упомянул об этом в Twitter в субботу, перед отправкой сообщения об ошибке в Лабораторию Касперского.

Сообщение Орманди включало скриншот, показывающий калькулятор Windows (calc.exe), работающий под процессом антивируса Касперского.

Он отлично работает против версий 15 и 16, сказал он.

Версии 15 и 16 соответствуют линейкам продуктов Касперского 2015 и 2016. Не ясно, был затронут только Kaspersky Anti-Virus или и Internet Security и Total Security.

Открытие calc.exe из другого процесса является распространенным методом, используемым исследователями безопасности, чтобы продемонстрировать успешные эксплойты.

Подразумевается, что если ошибка в приложении позволяет удаленным злоумышленникам выполнить calc.exe, то возможно и выполнение вредоносного кода.

Согласно информации Орманди, уязвимость Kaspersky Anti-Virus может быть использована удаленно, без взаимодействия с пользователем и с системными привилегиями.

Отвечая на вопрос одного из пользователей Twitter, который спросил – может ли уязвимость быть использована с помощью приема пакета данных, просмотра изображение в Twitter или посещения вебсайта злоумышленников, Орманди сказал: «все вышеперечисленное работает».

Представитель Лаборатории Касперского заявил в понедельник, что уязвимость переполнение стека и была исправлена в течение 24 часов с момента получения отчета. Исправление уже отправлено клиентам с помощью автоматических обновлений.

Компания совершенствует свои стратегии по смягчению последствий для предотвращения эксплуатации возможных багов своем программном обеспечении и уже использует анти-эксплуатационные технологии, такие как Address Space Layout Randomization (ASLR) и Data Execution Prevention (DEP), сказал представитель Лаборатории Касперского. «Лаборатория Касперского всегда поддерживала оценку наших решений независимыми исследователями. Их усилия помогают сделать наши решения сильнее, более продуктивными и более надежными».

Может показаться нелепым, что продукт, предназначенный для защиты компьютеров от атак, имеет уязвимости, которые могут быть использованы для их взлома, но это не редкость. Всё программное обеспечение, в том числе антивирусные программы, может иметь уязвимости.
В июне Орманди обнаружил критическую уязвимость удаленного выполнения команд в продуктах безопасности ESET, которая могла быть использована при посещении веб-сайта, загрузки сообщения в локальном почтовом клиенте, подключении USB-накопителя или других дисковых операциях.

В 2012 году он нашел критические уязвимости в Sophos Antivirus, а в прошлом году он нашел уязвимость, которая позволяла хакерам удаленно отключать движок, используемый в антивирусных продуктах Microsoft.

В 2014 году другой исследователь безопасности — Джокен Корет обнаружил десятки локально и удаленно эксплуатируемых уязвимостей в 14 различных антивирусных системах.

Разработчики стремятся ограничить привилегии приложений, чтобы сделать более трудной эксплуатацию уязвимостей. Тем не менее, это трудно сделать для антивирусных продуктов, потому что они должны иметь максимально возможные привилегии, чтобы эффективно детектировать, блокировать и удалять потенциальные угрозы.

По сравнению со многими другими приложениями, антивирусные продукты имеют большую поверхность атаки, так как они должны разбирать множество типов файлов и кода, написанного на разных языках, которые получены из различных источников, в том числе в Интернете и по электронной почте. Исторически сложилось, что ввод и парсинг файла являются источником многих уязвимостей.