Перейти к содержанию
TANUKI

Черные ходы в Антивирусе Касперского 6/7

Recommended Posts

alabama

Вообще это уже было. Честно говоря не проверял корректность написанного. А так я в принципе против таких публикаций, нашли баг пришлите вендору.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
А так я в принципе против таких публикаций, нашли баг пришлите вендору.

Я тоже. Но если верите автору материала, ЛК была полностью проинформирована. Более того, реакция была частичной (часть ошибок исправили, а часть нет). Поэтому было очень разумно опубликовать этот материал. Или получается нужно было упрашивать ЛК устранить недочеты?

ЗЫ Все сказанное можно считать бредом, если все-таки ЛК не владела полностью всей указанной информацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Storm

Ну, автор утверждает, что и раньше посылали в ЛК подобные материалы, однако в ЛК все эти уязвимости назвали не критичными типа... Наверняка там читали и эту статью, раз автор ругается, что ЛК никак не реагирует...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Ну, автор утверждает, что и раньше посылали в ЛК подобные материалы

Я ему вполне верю, но пока не выскажется вторая сторона (ЛК) на 100% говорить ИМХО нельзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Storm

Я только "ЗА!" высказывание второй стороны! Будем ждать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

BSOD у КАВа при попытке снятия хуков был установлен в тесте на самозащиту, если кто смотрел подробные результаты, то знает.

Разработчики были проинформированы и насколько мне известно уязвимость пофиксили, но вот вошло ли это в новые сборки или выйдет в MP1 к 7-ке не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Storm

однако в ЛК все эти уязвимости назвали не критичными типа...

Если единственное достижение уязвимости - падение системы в BSOD, то вполне вероятно, что она действительно была записана с невысоким приоритетом. Хотя фиксить конечно надо: к примеру, если повалить в BSOD сервак, то это может быть серъёзно и дорого...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Официальные ответы были - искать надо.

Вроде всё давно пофиксали, для 6ки в mp3.

Для 7ки в mp1, который выйдет через месяц.

Добавлено спустя 5 минут 23 секунды:

Вот вроде патч, фиксающий большинство дыр:

http://www.kaspersky.ru/news?id=207732544

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

dan

О! Другое дело :) Приятно видеть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Но опять таки, я сам не проверял.

Если кто проверит на 6ке MP3, будет хорошо ;) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Дык может кто-то из НЕлюбителей ЛК действительно проверит? :) Я знаю, здесь такие люди есть ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

А что проверять то? Появление бсода? ) Практической пользы для взломщика это по моему не принесет, по крайней мере на рабочих станциях. Это все равно что пытаться завершить процесс фаерволла, зная что он после этого драйвером заблокирует любую сетевую активность.

По той ссылке что дал dan приводится информация о автоапдейте. Соответственно с актуальной базой данной проблемы быть не может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

И всё таки на 6ке mp3 лучше перепроверить ;) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
И всё таки на 6ке mp3 лучше перепроверить ;) .

Проверил на Wks 6.0.3.830 при помощи Ntcall V0.1 alpha by Gloomy:

Ntcall.exe -ntoskrnl -win32k

секунд через 15 после запуска - первый BSOD

PAGE_FAULT_IN_ NON_PAGED_AREA

Address AF76190E base at AF747000 DateStamp 47061662 - klif.sys

содержимое [crash.log]:

Service Number: 0x11e1 Parameters: 0x1Stack:0x80000014;

дальше смотреть не стал.

Возможно, стоит проверить "на стенде" (хотя бы при помощи данной тулзы или аналогов)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Спасибо, уверен разработчики перепроверят.

Правда ntcall и чистую, полностью пропатченную XP валит.

Надо просто подождать подольше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Спасибо, уверен разработчики перепроверят.

Правда ntcall и чистую, полностью пропатченную XP валит.

Надо просто подождать подольше.

dan,

я не спорю с этим, но есть "немного отличий":

виновником торжества отмечен не klif.

А насчет "перепроверят":

все понимаю, и тотальную занятость (в том числе новыми и более приоритеными вещами) в частности, но

не стоит ли периодически прогонять подобные примеры "от начала и до конца"?

раз уж эта тема так обсасывается и вызывает весьма нехилый "обчественный рэзонанс"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

Все эти чёрные ходы на бета-сборке 7.0 МР1 (последний на этот момент билд 7.0.1.273) должны быть уже поправлены. Если у кого есть желание, можете проверить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
Все эти чёрные ходы на бета-сборке 7.0 МР1 (последний на этот момент билд 7.0.1.273) должны быть уже поправлены. Если у кого есть желание, можете проверить.

МолодцЫ! :D Релиз - в массы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.600. В числе прочего добавлена поддержка Big Sur 11.1 и 11.2.
    • PR55.RP55
      Поле нужно заполнять. Можно заполнять с пометкой: I  >> The Qt Company Ltd.  <<    I    Пустое поле когда есть реальная\полезная информация ? Это не дело. От пустого поля польза = 0.    
    • PR55.RP55
      На V.T.   видимо опять что-то изменили. VTOK [] 1613 VTOK [] 1572 VTOK [] 1585 ----------        
    • santy
      цифровая подпись может не соответствовать производителю, так что не стоит добавлять недостоверную информацию о производителе вместо незаполненного поля. например: файл: C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\7Z.DLL цифровая: Действительна, подписано Malwarebytes Inc производитель: Igor Pavlov   или C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\QT5WINEXTRAS.DLL Действительна, подписано Malwarebytes Inc The Qt Company Ltd.  
    • PR55.RP55
      И ещё момент. В  папке с vtcache скапливается по несколько тысяч файлов... т.е. файлы старше 3 или ( ∞ ) дней не удаляются. Я так понимаю программа проверяет\заменяет только тот файл который проверяется сейчас. А другие файлы могут годами сохраняться. ( сейчас посмотрел есть файлы от 2018 года )  
×