Thread-topic: В продолжение темы об ошибках мониторов в KAV
;-) john писал в своих письмах - "Any mailicious software on local computer can
bypass..."
Kaspersky Anti-Virus 6.0 и Internet Security 6.0 - ошибки в парсерах протоколов
HTTP веб-антивируса и POP3 почтового антивируса
В результате публикации неизвестным исследователем двух сообщений на форуме
Security Focus (первое, второе), в российском сегменте интернета разыгралась
бурная дискуссия (например, здесь).
Суть дискуссии заключается в том, что, согласно приведенным выше сообщениям,
парсер HTTP-модуля веб-антивируса KIS 6.0 ошибается в обработке протокола HTTP,
если запрос к серверу посылается побайтно. При этом автор сообщений обозначил
данную ошибку как критическую и подверг сомнению общую работоспособность
комплекса Kaspersky Internet Security 6.0.
Официальное заявление <Лаборатории Касперского>
Мы согласны с тем, что сформированный подобным образом запрос не будет
обработан веб-антивирусом Kaspersky Internet Security 6.0.
Однако мы утверждаем, что распространенные браузеры (MS Internet Explorer,
Mozilla Firefox, Opera) и программы-даунлоадеры никогда не посылают запрос к
серверу в таком виде.
Подобный код может быть исполнен только извне браузера, силами отдельно
запущенной программы. Программы, осуществляющие подобные действия (скачивание
на компьютер вредоносных программ в обход систем защиты компьютера), выделены в
отдельный класс вредоносных программ - Trojan-Downloader.
Более того, программы этого класса не стеснены рамками протокола HTTP и могут
использовать любое шифрование и любой протокол для скачивания malware.
Модуль веб-антивируса KIS 6.0 не предназначен для борьбы с запущенным на
компьютере процессом Trojan-Downloader. Для борьбы с подобными видами
вредоносных программ в продукте Kaspersky Internet Security 6.0 предусмотрены
следующие модули:
* Антихакер
* Проактивная защита
* Файловый антивирус
Таким образом, программный комплекс KIS 6.0 обеспечивает полную защиту
компьютера пользователя, и опубликованная <уязвимость> никак не влияет на
безопасность компьютера.
Второй представленный на форуме сайта Security Focus скрипт, демонстрирующий
уязвимость в парсере протокола POP3, имитирует не почтовую программу (ни один
почтовый клиент так не работает), а снова Trojan-Downloader. То есть,
демонстрируется не уязвимость в защите почтового трафика при помощи KIS 6.0, а
вредоносная программа, которая позволяет скачивать вирусы по протоколу POP3 в
обход модуля защиты протокола POP3 KIS 6.0.
Другими словами, чтобы воспользоваться этой уязвимостью для скачивания
вредоносной программы в обход защиты KIS 6.0 необходимо запустить особую
вредоносную программу, которая не является почтовым клиентом - то есть,
обычному пользователю, работающему с почтой из какого-либо обычного
распространенного почтового клиента по протоколу POP3 эта уязвимость никак не
угрожает.
Для предотвращения возможности заражения посредством использующих данную
уязвимость специально написанных программ в середине следующей недели
<Лаборатория Касперского> выпустит соответствующие hotfix'ы для продуктов
Kaspersky Anti-Virus 6.0 и Internet Security 6.0.
<Лаборатория Касперского> сожалеет о том, что потенциально опасная информация
была сразу опубликована в открытом доступе вместо того, чтобы, как принято
поступать в антивирусном сообществе, сообщить об обнаруженной проблеме
разработчикам программного комплекса.
26.05.2006
