Niebezpieczny skaner antywirusowy
Symantec poinformował właśnie o wykryciu problemu z zabezpieczeniami w wielu swoich programach antywirusowych dla firm i użytkowników prywatnych. Lista zagrożonych narzędzi zawiera kilkanaście pozycji - od pakietu Norton Systemworks aż po Symantec Mail Security for Domino. Problem.
Za sprawą pewnej usterki możliwe jest wprowadzenie w błąd skanera przy poszukiwaniu szkodników w spreparowanych archiwach. W wyniku tej manipulacji archiwa tracą swój poprawny format, chociaż niektóre programy i narzędzia do rozpakowywania są w stanie prawidłowo rozpakować znajdujące się wewnątrz pliki.
Problematyczne są w szczególności usterki w rozpoznawaniu plików na sieciowych magistralach bezpieczeństwa, w wyniku czego w firmach jedynie skanery działające na systemach końcowych mają możliwość sprawdzenia pliku podczas jego rozpakowywania. W ten sposób podważana jest też skuteczność metod Multi-Tier stosowanych w różnych produktach antywirusowych.
Rozwiązanie
Nie istnieje rozwiązanie problemu. Symantec klasyfikuje związane z nim ryzyko jako niewielkie i zamiast aktualizacji w swoim raporcie o błędach przekazuje jedynie wskazówki, jak ominąć ten problem.
Obejście
Administratorzy powinni w taki sposób zmienić ustawienia bram filtrujących, aby odrzucały one potencjalnie niebezpieczne archiwa.
Problemy powiązane
Producenci programów antywirusowych różnią się w swoich opiniach na temat tego typu usterek. W ubiegłym roku F-Secure oceniło ryzyko związane z taką luką jako wysokie.
Całkiem niedawno firmy Frisk (F-Prot), Norman i Ikarus opublikowały aktualizacje, które rozwiązują podobne problemy w ich skanerach antywirusowych. Specjalista od zabezpieczeń Thierry Zoller wykrył w tych narzędziach usterki i poinformował o nich producentów. Według informacji Zollera niedawno także Kaspersky za pomocą tzw. cichej aktualizacji naprawił lukę, za pomocą której możliwe było przemycenie przez skaner antywirusowy spreparowanych, złośliwych dokumentów PDF, które następnie przy otwieraniu w Adobe Readerze doprowadzały do zainfekowania systemu.
Według Zollera Kaspersky przy parsowaniu dokumentów PDF używa stałego odstępu od początku zbioru, aby stwierdzić, czy dokument zaczyna się "magicznym" łańcuchem znaków %PDF. Jeśli takiego wzorca nie udaje się znaleźć, skaner nie rozpoznaje go jako dokumentu PDF. Wygląda na to że czytniki takie jak Adobe Reader czy Foxit nie przejmują się właściwymi pozycjami i zamiast tego odczytują spreparowane dokumenty, wykonując jednocześnie zawarte w nich JavaScripty.
