В Avast нашли критическую уязвимость: эксплойт даёт права SYSTEM

Екатерина Быстрова 08 Декабря 2025 - 09:31

Домашние пользователи

Корпорации

Avast Software

Защита персональных компьютеров

Персональный антивирус

Уязвимости программ

Патчи

...

В Avast нашли критическую уязвимость: эксплойт даёт права SYSTEM

Исследователи из SAFA сообщили о серьёзной уязвимости в антивирусе Avast: драйвер aswSnx.sys содержит сразу четыре бага, объединённых под номером CVE-2025-13032. Брешь затрагивает версии программы до 25.3 на Windows. Проблема позволяет локальному злоумышленнику получить права SYSTEM, что делает историю особенно неприятной.

Необычный нюанс: чтобы добраться до уязвимого кода, атакующему нужно не вырваться из песочницы, как обычно, а наоборот — попасть в неё.

Внутренний механизм Avast допускает работу с рядом IOCTL-команд только для «особенных» процессов, и именно это ограничение исследователи смогли обойти, зарегистрировав собственный исполняемый файл в качестве одного из компонентов песочницы.

SAFA выбрали Avast для анализа из-за его популярности и богатого набора пользовательских интерфейсов в защитных драйверах. Особое внимание они уделили компонентам, обрабатывающим данные из пользовательского режима. Драйвер aswSnx оказался подходящей целью: множество IOCTL-обработчиков с очень мягкими ACL и знакомые паттерны работы со строками и структурами.

Ручной аудит вскрыл ключевую проблему: двойное считывание пользовательских структур UNICODE_STRING. Значение длины строки сначала использовалось для выделения памяти, а затем считывалось повторно — что позволяло изменить его между двумя операциями и добиться контролируемого переполнения буфера. Аналогичные ошибки затрагивали и другие поля, включая pString и pData, причём часть указателей никак не проверялась, что приводило к отказу в обслуживании.

По ходу анализа всплыли и дополнительные уязвимости: повторяющиеся двойные проходы по строкам для определения размера, неверное использование snprintf при завершении процесса, а также отдельный вариант проблемы с pData, где длина и копирование снова расходились.

В версии 25.3 Avast закрыла найденные дыры: драйвер теперь корректно копирует пользовательские структуры в память ядра, повторно использует исходные длины, проверяет размеры буферов и валидирует указатели. Уязвимость получила 9,9 балла из 10 по CVSS, что неудивительно: для эксплуатации нужны минимальные права, а результатом может стать полный контроль над системой.

Эксплойт SAFA успешно заработал на Windows 11, так что компаниям стоит обновиться как можно скорее, ограничивать локальные права и следить за подозрительными попытками повышения привилегий. История снова напоминает: даже защитные продукты могут содержать опасные ошибки в коде ядра.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 12 Декабря 2025 - 16:23

Windows Ошибки конфигурации программ Домашние пользователи

Новый WhatsApp для Windows ест больше памяти и уже навязывается всем

WhatsApp (принадлежит признанной в России экстремистской организации и запрещённой корпорации Meta) начал заранее предупреждать пользователей Windows о грядущей смене настольного приложения. С 9 декабря 2025 года компания постепенно переводит всех на новую версию клиента — соответствующее уведомление уже появляется после обновления и предлагает «перейти на обновлённый WhatsApp».

Правда, радости у пользователей это нововведение не вызывает. Новый WhatsApp для Windows оказался не полноценным нативным приложением, а по сути обёрткой для веб-версии — внутри окна просто загружается сайт web.whatsapp.com. Такой подход сразу сказался на производительности.

Как отмечает WindowsLatest, обновлённый клиент потребляет в несколько раз больше ресурсов: объём используемой оперативной памяти может быть до десяти раз выше, чем у старой нативной версии.

Приложение работает заметно медленнее и ощущается более «тяжёлым», из-за чего многие пользователи воспринимают переход как откровенный шаг назад. При этом выбора у них фактически нет — обновление навязывается автоматически.

Ситуация хорошо вписывается в общую тенденцию экосистемы Windows. Microsoft всё чаще делает ставку на приложения на базе WebView2, и это уже сказалось на ряде системных компонентов, включая, например, представление «Повестка» в Центре уведомлений.

Пока что существует временный обходной путь: можно отключить автоматические обновления и продолжать пользоваться старым нативным клиентом WhatsApp. Правда, в этом случае обновления придётся устанавливать вручную, и долго такой вариант не продержится — рано или поздно компания всё равно принудительно переведёт пользователей на новую версию.

В итоге владельцам Windows остаётся лишь готовиться к более прожорливому и медленному WhatsApp, который по ощущениям для многих стал скорее деградацией, чем апгрейдом.

Напомним, на днях пользователи в России нашли способ ускорить WhatsApp.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »