Лаборатория Касперского выпустила экстренный патч

Лаборатория Касперского представила для ряда своих антивирусных продуктов экстренный патч, который стал результатом обнаружения в них критической уязвимости, способной привести к компрометации компьютеров. Открытие сделал инженер Google Тавис Орманди, написавший об этом в субботу в Твиттере и отправивший подробные сведения разработчикам.

В сообщении в Твиттере показан калькулятор Windows, запущенный в рамках процесса антивируса. Относится это к версиям антивирусов 2015 и 2016, затронуты ли Internet Security и Total Security, не сообщается. Открытие файла calc.exe из другого процесса является распространённым методом исследователей сетевой безопасности для демонстрации успешной работы эксплоитов. Если уязвимость приложения позволяет дистанционно запускать файл calc.exe, она же может привести к возможности запуска вредоносного кода.

Уязвимость антивируса Касперского может использоваться дистанционно при наличии системных привилегий. Уязвимость может быть задействована при посещении специально созданного сайта, открытии изображения или получении сообщения. Представители компании заявили, что патч был выпущен в течение суток после получения информации об уязвимости и сейчас автоматически устанавливается на антивирусные приложения.

Комментарий Kaspersky Lab:

Уязвимость, связанная с переполнением буфера, которая была обнаружена господином Тэвисом Орманди (Tavis Ormandy), была закрыта специалистами Kaspersky Lab в течение 24 часов с момента получения этой информации. Исправление уже разослано через систему автоматических обновлений всем нашим клиентам. Мы работаем над тем, чтобы исключить подобные ситуации в будущем и предотвратить эксплуатацию существующих в нашем ПО недоработок. Например, мы уже используем технологию Address Space Layout Randomization, которая позволяет размещать системные компоненты в разных областях памяти при каждом запуске операционной системы, тем самым повышая безопасность систем, и технологию Data Execution Prevention, которая предотвращает запуск вредоносного кода из областей памяти, помеченных как «неисполняемые».

Это уже не первый случай, когда призванные защищать от вирусов приложения сами становятся для злоумышленников дверью в системы пользователей. В июне всё тот же Тавис Орманди нашёл уязвимость в продуктах компании ESET, в 2012 он нашёл критические уязвимости в Sophos Antivirus, в 2014 в антивирусных продуктах Microsoft. В прошлом же году другой исследователь обнаружил уязвимости сразу в 14 различных антивирусных движках.