Перейти к содержанию
downtempo

Удаленная уязвимость в Dr.Web + exploit

Recommended Posts

Dexter
При желании можем выпустить и за 5 минут (с тестированием). Без тестирования - моментально.
Переполнение буфера в Kaspersky Anti-Virus

03 октября, 2005

«Лаборатория Касперского» выпускает ряд обновлений антивирусных продуктов со специальным механизмом загрузки

13.10.2005

Просто интересное сопоставление получилось.

Игра датами, минутами и моментальностью.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

все равно не понимаю о чем вы.

3 октября пришла бага, в тот же день ее разобрали, пофиксали, выпустили патчи.

вопрос был "сколько времени занимает цикл тестирования вашего движка от сборки до релиза?"

причем тут та история с уязвимостью ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Phoenix

To Dexter:

3 октября работало автоматическое обновление, 13-го вышло объявление о ручной загрузке из-за перегрузки серверов (насколько я понял данный момент).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko
Какого движка ? Движок у нас в базах. Апдейты выходят каждый час. При желании можем выпустить и за 5 минут (с тестированием). Без тестирования - моментально.

Хм... Припоминаю слова доктора головы, про то, что у касперского и веба скорость первого прогона сканера практически одинакова, потому что движки одинаковы.

Вы уж там определитесь, где у вас движок. У drweb он точно не в базах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Хм... Припоминаю слова доктора головы, про то, что у касперского и веба скорость первого прогона сканера практически одинакова, потому что движки одинаковы.

Вы уж там определитесь, где у вас движок. У drweb он точно не в базах.

Вы меня хотите в чем-то убедить ? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko
вопрос был "сколько времени занимает цикл тестирования вашего движка от сборки до релиза?"

причем тут та история с уязвимостью ?

В то же время, специалистами «Лаборатории Касперского» был предпринят ряд мер, направленных на устранении угрозы, связанной с уязвимостью CAB-модуля. Прежде всего, после получения соответствующих данных командой антивирусных аналитиков в сжатые сроки был создан пакет сигнатур, обнаруживающих возможные для данной уязвимости эксплойты (процедуры использования уязвимости для проникновения на компьютер)

Действительно! Даже не смешно. Спасибо за ссылки :). Оказывается, у drweb и касперского много общего в подходах к решению проблем. drweb только чуть быстрее :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

читайте внимательней, сэр

уязвимость попала в паблик 3 октября, а "пакет сигнатур, обнаруживающих возможные для данной уязвимости эксплойты" был выпущен еще 29 сентября.

притом что эксплоита не было.

и вообще я уже утомился от вас - топик про веб, а тут опять KAV обсуждают.

привет Коляде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko
читайте внимательней, сэр

Я прочел внимательно. Получил примерное представление и о характерных временах тестирования у вас. Спасибо за совет

уязвимость попала в паблик 3 октября, а "пакет сигнатур, обнаруживающих возможные для данной уязвимости эксплойты" был выпущен еще 29 сентября.

притом что эксплоита не было

А так же, при том, что сигнатура веба исключает уязвимость, а не сводит ее к минимуму.

и вообще я уже утомился от вас - топик про веб, а тут опять KAV обсуждают.

привет Коляде.

Обязетльно передам. Приятно было пообщаться с вежливым и толковым человеком. Пусть да в оффтопике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
3 октября работало автоматическое обновление, 13-го вышло объявление о ручной загрузке из-за перегрузки серверов (насколько я понял данный момент).

Я это попытался понять, но хотя бы для начала такое к чему:

Упс, извините цитата не получится, ни http://www.kaspersky.ru/news?id=171171383 ни http://www.kaspersky.ru/news?id=172025900

цитаты из поста A. не открываются на 22:42 МВ впрочем как и kaspersky.com

Я это попытался понять, но хотя бы для начала такое к чему (не точная цитата от 04/10/05) : " В настоящее время Лаборатория Касперского работает над устранением уязвимости".

P.S.

Оказывается, у drweb и касперского много общего в подходах к решению проблем. drweb только чуть быстрее .
Цитата:

В то же время, специалистами «Лаборатории Касперского» был предпринят ряд мер, направленных на устранении угрозы, связанной с уязвимостью CAB-модуля. Прежде всего, после получения соответствующих данных командой антивирусных аналитиков в сжатые сроки был создан пакет сигнатур, обнаруживающих возможные для данной уязвимости эксплойты (процедуры использования уязвимости для проникновения на компьютер)

Действительно! Даже не смешно. Спасибо за ссылки . Оказывается, у drweb и касперского много общего в подходах к решению проблем. drweb только чуть быстрее .

От себя добавлю для полноты картины цитату A.

это грамотно, да

Exploit.LHA

вместо того чтобы исправить багу в движке - они просто задетектили файл эксплоита.

даже не смешно.

Спасибо, за кончил.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Естесно смешно т.к у доктора был месяц на закрытие баги а вместо этого спустя 1 месяц они добавили детект эксплойта. Который не гарантирует 100% детекта.

В то время как КЛ добавила сигнатуру на всякий случай, им некуда было спешить т.к эксплойтов небыло, детект был добавлен как только об уязвимосте стало известно. Апдейт вышел за неделю. (поиск баги, фиксинг, отладка).

У доктора ушел месяц и результата еще нету.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Апдейт вышел за неделю. (поиск баги, фиксинг, отладка).

Это было сделано в течении _одного_ дня, просто в связи с отсутствием реальных эксплоитов и наличием generic детекшена на данную уязвимость, который вышел буквально через пару часов после публикации, было решено перевыпустить плагин вместе с некоторыми другими фиксами, а не сразу. Апдейтер пятерки не умел тогда переустанавливать компоненты ядра без перезагрузки, а пользователей это сильно анноит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Еще вчера выложили еждневный аддон с фиксом. Ничего не надо переустанавливать и перегружать.

Спасибо. Если я не ошибаюсь проблема решена путем выпуска сигнатуры соответствующего эксплойта. Будет ли сделано "полноценное" закрытие уязвимости? И когда примерно это будет сделано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
Еще вчера выложили еждневный аддон с фиксом. Ничего не надо переустанавливать и перегружать.

Спасибо. Если я не ошибаюсь проблема решена путем выпуска сигнатуры соответствующего эксплойта. Будет ли сделано "полноценное" закрытие уязвимости? И когда примерно это будет сделано?

полноценее не бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
полноценее не бывает.

Простите, не могли бы Вы прокомментировать данную фразу? Ведь задетектированный сплойт (если не ошибаюсь) актуален для *nix-систем. Пользователи Windows остаются не защищены от даной уязвимости?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko
Простите, не могли бы Вы прокомментировать данную фразу? Ведь задетектированный сплойт (если не ошибаюсь) актуален для *nix-систем. Пользователи Windows остаются не защищены от даной уязвимости?

Ошибаетесь. "задетектированный сплойт" актуален для всех версий drweb. При этом сейчас ВСЕ пользователи drweb защищены от данной уязвимости.

Спасибо. Если я не ошибаюсь проблема решена путем выпуска сигнатуры соответствующего эксплойта. Будет ли сделано "полноценное" закрытие уязвимости? И когда примерно это будет сделано?

Ошибка в движке, конечно, была. Она давно уже исправлена и фикс выйдет в плановом порядке с кучкой других исправлений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
Простите, не могли бы Вы прокомментировать данную фразу? Ведь задетектированный сплойт (если не ошибаюсь) актуален для *nix-систем. Пользователи Windows остаются не защищены от даной уязвимости?

Ошибаетесь. "задетектированный сплойт" актуален для всех версий drweb. При этом сейчас ВСЕ пользователи drweb защищены от данной уязвимости.

а так же пользователи некоторых версий распаковщика lha падающих в кору

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ошибаетесь. "задетектированный сплойт" актуален для всех версий drweb. При этом сейчас ВСЕ пользователи drweb защищены от данной уязвимости.

-

skip

-

Ошибка в движке, конечно, была. Она давно уже исправлена и фикс выйдет в плановом порядке с кучкой других исправлений.

Вы только не забудьте мир об этом оповестить, ага ?

А то что уязвимость "исправлена" считаете только вы :)

Интересно, почему ? :)

http://secunia.com/advisories/22019/

Solution Status: Unpatched

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко
привет Коляде.

Привет принимается, только я не тот Sergeyko ;) Вообще мы, как правило, подписываемся в форумах во избежание недоразумений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
привет Коляде.

Привет принимается, только я не тот Sergeyko ;) Вообще мы, как правило, подписываемся в форумах во избежание недоразумений.

Да я уже заметил, что запутался в сергеях :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ошибка в движке, конечно, была. Она давно уже исправлена и фикс выйдет в плановом порядке с кучкой других исправлений.

Благодарю. Вопросов больше нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×