Антиспамы впервые протестируют

Александр Панасенко 17 Февраля 2009 - 12:36

...

Virus Bulletin планирует провести первый тест решений, предназначенных для защиты от спама. Предварительные итоги ожидаются в конце феврале, в начале марта 2009 г. Эксперты и участники рынка ИБ давно говорили о необходимости разработки и проведения тестов для антиспамов.

Но в отличие от антивирусной индустрии, где, кстати сказать, тоже не все так однозначно, выработать единые подходы и методики, устраивающие большинство крайне сложно. И дело здесь не только в качестве самого продукта. Очень многое зависит от набора тестовых сообщений, который отличается от реального потока и во времени, и географически и по другим параметрам. «Впервые разработчикам о новом тесте было объявлено в октябре 2008 г. во время конференции VB2008 в Оттаве, - рассказал CNews Андрей Никишин, директор департамента контентной фильтрации «Лаборатории Касперского». - Тогда же прошел ряд встреч с вендорами, и совместными усилиями была выработана методология.

На наш взгляд, методология тестирования антиспам-решений адекватна. За одним небольшим исключением. В отличие от вирусов, потоки нежелательных сообщений более локальны – скажем, российские пользователи получают больше спама на русском, а китайские – на китайском». Virus Bulletin планирует использовать в качестве источника спама сообщения с международных (COM) почтовых доменов и, разумеется, доля не англоязычных сообщений там будет наибольшей. Что не на 100% будет отражать ситуацию для стран с высокой долей локального спама. «Мы надеемся, что неизбежные небольшие шероховатости первого тестирования будут в дальнейшем отшлифованы, и мы получим хороший индустриальный тест», - говорит Андрей Никишин. В "Доктор Веб" надеются, что со временем VB наберет необходимый опыт в тестировании антиспамов и, может быть, сможет «избежать в нем тех ошибок, которые присутствуют в их антивирусных тестах».

Позицию представителей этого вендора можно понять, они ее не раз озвучивали при критике VB. Практически любой тест антивурусов, это ни в коем случае ни тест решения целиком, а только лишь некоторого его функционала, например, скорости сканирования, качества детектирования или самозащиты. В результате пользователь зачастую вводится в заблуждение относительно возможностей продукта в целом.

Системный инженер Symantec в России и СНГ Кирилл Керценбаум, полагает, что расширение спектра технологий ИБ, которые хочет охватить своим вниманием VB, выглядит вполне закономерно. Однако, своевременность такого шага трудно оценить высоко, так как антиспам-технологии настолько плотно вошли в нашу жизнь, что на результаты подобных тестов мало кто будет обращать большое внимание. Собственно, подобная ситуация уже произошла с тестами антивирусов, которые регулярно и достаточно давно проводит Virus Bulletin.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 08 Декабря 2025 - 09:31

Уязвимости программ Домашние пользователи Корпорации Защита персональных компьютеров Персональный антивирус Avast Software

В Avast нашли критическую уязвимость: эксплойт даёт права SYSTEM

Исследователи из SAFA сообщили о серьёзной уязвимости в антивирусе Avast: драйвер aswSnx.sys содержит сразу четыре бага, объединённых под номером CVE-2025-13032. Брешь затрагивает версии программы до 25.3 на Windows. Проблема позволяет локальному злоумышленнику получить права SYSTEM, что делает историю особенно неприятной.

Необычный нюанс: чтобы добраться до уязвимого кода, атакующему нужно не вырваться из песочницы, как обычно, а наоборот — попасть в неё.

Внутренний механизм Avast допускает работу с рядом IOCTL-команд только для «особенных» процессов, и именно это ограничение исследователи смогли обойти, зарегистрировав собственный исполняемый файл в качестве одного из компонентов песочницы.

SAFA выбрали Avast для анализа из-за его популярности и богатого набора пользовательских интерфейсов в защитных драйверах. Особое внимание они уделили компонентам, обрабатывающим данные из пользовательского режима. Драйвер aswSnx оказался подходящей целью: множество IOCTL-обработчиков с очень мягкими ACL и знакомые паттерны работы со строками и структурами.

Ручной аудит вскрыл ключевую проблему: двойное считывание пользовательских структур UNICODE_STRING. Значение длины строки сначала использовалось для выделения памяти, а затем считывалось повторно — что позволяло изменить его между двумя операциями и добиться контролируемого переполнения буфера. Аналогичные ошибки затрагивали и другие поля, включая pString и pData, причём часть указателей никак не проверялась, что приводило к отказу в обслуживании.

По ходу анализа всплыли и дополнительные уязвимости: повторяющиеся двойные проходы по строкам для определения размера, неверное использование snprintf при завершении процесса, а также отдельный вариант проблемы с pData, где длина и копирование снова расходились.

В версии 25.3 Avast закрыла найденные дыры: драйвер теперь корректно копирует пользовательские структуры в память ядра, повторно использует исходные длины, проверяет размеры буферов и валидирует указатели. Уязвимость получила 9,9 балла из 10 по CVSS, что неудивительно: для эксплуатации нужны минимальные права, а результатом может стать полный контроль над системой.

Эксплойт SAFA успешно заработал на Windows 11, так что компаниям стоит обновиться как можно скорее, ограничивать локальные права и следить за подозрительными попытками повышения привилегий. История снова напоминает: даже защитные продукты могут содержать опасные ошибки в коде ядра.

Антиспамы впервые протестируют

Читайте также