Niebezpieczny skaner antywirusowy

Problematyczne są w szczególności usterki w rozpoznawaniu plików na sieciowych magistralach bezpieczeństwa, w wyniku czego w firmach jedynie skanery działające na systemach końcowych mają możliwość sprawdzenia pliku podczas jego rozpakowywania. W ten sposób podważana jest też skuteczność metod Multi-Tier stosowanych w różnych produktach antywirusowych.

Rozwiązanie

Nie istnieje rozwiązanie problemu. Symantec klasyfikuje związane z nim ryzyko jako niewielkie i zamiast aktualizacji w swoim raporcie o błędach przekazuje jedynie wskazówki, jak ominąć ten problem.

Obejście

Administratorzy powinni w taki sposób zmienić ustawienia bram filtrujących, aby odrzucały one potencjalnie niebezpieczne archiwa.

Problemy powiązane

Producenci programów antywirusowych różnią się w swoich opiniach na temat tego typu usterek. W ubiegłym roku F-Secure oceniło ryzyko związane z taką luką jako wysokie.

Całkiem niedawno firmy Frisk (F-Prot), Norman i Ikarus opublikowały aktualizacje, które rozwiązują podobne problemy w ich skanerach antywirusowych. Specjalista od zabezpieczeń Thierry Zoller wykrył w tych narzędziach usterki i poinformował o nich producentów. Według informacji Zollera niedawno także Kaspersky za pomocą tzw. cichej aktualizacji naprawił lukę, za pomocą której możliwe było przemycenie przez skaner antywirusowy spreparowanych, złośliwych dokumentów PDF, które następnie przy otwieraniu w Adobe Readerze doprowadzały do zainfekowania systemu.

Według Zollera Kaspersky przy parsowaniu dokumentów PDF używa stałego odstępu od początku zbioru, aby stwierdzić, czy dokument zaczyna się "magicznym" łańcuchem znaków %PDF. Jeśli takiego wzorca nie udaje się znaleźć, skaner nie rozpoznaje go jako dokumentu PDF. Wygląda na to że czytniki takie jak Adobe Reader czy Foxit nie przejmują się właściwymi pozycjami i zamiast tego odczytują spreparowane dokumenty, wykonując jednocześnie zawarte w nich JavaScripty.