Эвристический алгоритм антивируса Eset мог запускать вирусы

25/06/2015 14:14

Project Zero продемонстрировал использование уязвимости в антивирусных продуктах Eset (закрытой в одном из последних обновлений). Проблема заключалась в эмуляторе, который обрабатывал распознанный исполняемый код (это необходимо, например, в случае автораспаковывающегося кода, чтобы применить поиск по сигнатурам уже после завершения распаковки). Однако модуль эмулятора оказался недостаточно хорошо изолирован, что позволяло провести достаточно простую атаку, дающую доступ к системе с максимальными правами доступа. Причем атаку кросс-платформенную, поскольку уязвимы были как windows-версии, так и версии для Linux и OS X. Источником атаки могло быть что угодно, от простой веб-страницы до вложения в электронном письме. Даже при отключении постоянного мониторинга (что само по себе забавно, поскольку эта функция как бы призвана обеспечить большую безопасность) можно было попасть под раздачу при обычном выборочном сканировании файлов. Прекрасный пример того, как система безопасности рождает новые источники угроз.
Источник