Большинство популярных антивирусов уязвимы при сканировании архивов
Компьютерное сообщество встревожено опубликованным недавно известием о найденной
ошибке в системах антивирусного сканирования архивированных файлов популярного
формата ZIP. Эта уязвимость была обнаружена компанией iDefence,
специализирующейся в области электронной безопасности, и затрагивает
антивирусные продукты ведущих международных разработчиков, включая McAfee,
Computer Associates, Kaspersky, Sophos, Eset and RAV. Эксперты «Лаборатории
Касперского» подтверждают верность представленной iDefence информации.
Действительно, вирусописатели могут воспользоваться особенностью применяемого в
формате ZIP метода архивации. Дело в том, что для каждого находящегося в архиве
объекта zip хранит две копии заголовка (local/central directory), содержащего,
среди прочего, реальный размер распакованного файла. Если злоумышленник в обоих
заголовках укажет значение размера равным нулю, то антивирусные сканеры
указанных выше разработчиков ошибочно посчитают обьект слишком маленьким для
проверки и пропустят его. В то же время, утилиты архивации не используют
указанный в заголовке размер файла и успешно распаковывают такие
модифицированные архивы.
«Обнаруженная iDefence уязвимость методики
антивирусного сканирования архивов ZIP-формата предоставляла потенциальную
возможность дезориентации систем антивирусной защиты за счет изменения данных,
содержащихся в заголовке архива. Антивирусные эксперты «Лаборатории Касперского»
оперативно устранили найденную ошибку, вызванную несоответствием механизмов
работы архиватора ZIP и антивирусного сканера», сказал Евгений Касперский,
руководитель антивирусных исследований «Лаборатории Касперского».
«Теперь при анализе архивированного объекта антивирусный сканер
полностью повторяет действия архиватора, сначала распаковывая файл, и только
затем подвергая его анализу. Это обеспечивает полную защиту пользователей
Антивируса Касперского от попыток использования данной уязвимости. Мы благодарны
компании iDefence за своевременное обнаружение данной проблемы и рады, что
фактов ее использования в деструктивных целях не было зафиксировано», подчеркнул
Евгений.
Источник:»Tom’s Hardware »
Нет загрузок