Grave falla nei prodotti Kaspersky

Grave falla nei prodotti Kaspersky

Un falla definita critica è stata individuata nei software antivirus di Kaspersky, molti prodotti sembrano affetti da tale problema. Per il momento l'azienda non ha rilasciato commenti e sta effettuando controlli

di Fabio Boneschi pubblicata il , alle 15:57 nel canale Sicurezza
 
Una falla critica è stata individuata nei prodotti antivirus sviluppati da Kaspersky Lab.
Secondo il ricercatore Alex Wheeler la vulerabilità è da ricercare in una libreria utilizzata da vari software destinati sia alla clientela consumer sia a quella professionale.

Un'ulteriore preoccupazione deriva dal fatto che alcune tecnologie Kaspersky Lab sono utilizzate anche all'interno di terze parti. Qui di seguito la parte essenziale del report di Wheeler:

During analysis of cab files Kaspersky is vulnerable to a heap overflow allowing attackers complete control of the system(s) being protected. This vulnerability can be exploited remotely without user interaction in default configurations through common protocols such as SMTP, SMB, HTTP, and FTP.

Con le dovute semplificazioni, pare che un file .CAB appositamente costruito possa superare il controllo antivirus dei prodotti Kaspersky, quindi se tale file malevolo viene allegato a un messaggio email il pc è potenzialmente esposto a rischi.

Un archivio opportunamente confezionato potrebbe contenere del codice che entra in esecuzione senza richiedere alcuna interazione all'utente, il quale di fatto si ritrova con un antivirus "teoricamente" funzionante e aggiornato ma con un sistema infetto.

Al momento Kaspersky Lab non ha rilasciato dichiarazioni in merito affermando che gli sviluppatori stanno effettuando le dovute verifiche.

Fonte: ZDNet.com


Update: Abbiamo appena ricevuto da KasperskyLab una nota in cui si ammette la vulnerabilità e vengono forniti ulteriori dettagli.
Dalle firme virali rilasciate il 29 Settembre è stato introdotto un controllo specifico per eventuali exploit capaci di sfruttare la vulnerabilità, d'altra parte gli sviluppatori stanno lavorando ad una risoluzione definitiva del problema modificando le parti di codice interessate.

Qui di seguito elenchiamo i prodotti che presentano la vulnerabilità relativa ai .CAB: Kaspersky Anti-Virus Personal 5.0, Kaspersky Anti-Virus Personal Pro 5.0, Kaspersky Anti-Virus 5.0 for Windows Workstations, Kaspersky Anti-Virus 5.0 for Windows File Servers, Kaspersky Personal Security Suite 1.1. Le vecchie release 4.5 non sono invece affette.

La società tiene però a precisare 2 particolari: l'aggiornamento delle firme risolve già temporaneamente il problema, mentre al momento alcun exploit capace di sfuttare il bug è stato individuato.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
NoPlaceToHide04 Ottobre 2005, 16:00 #1
:|
sirus04 Ottobre 2005, 16:00 #2
grave
brutta cosa...spero che correggano alla svelta
Neo_04 Ottobre 2005, 16:04 #3
oddio cade un mito!!!
Nockmaar04 Ottobre 2005, 16:04 #4
Quanti di voi scaricano ed eseguono file .cab?

Credo la percentuale sia prossima allo zero...

Chi vuol capire, capisca...
nick76804 Ottobre 2005, 16:07 #5

x Nockmaar

Lo fai a tua insaputa ogni volta che qualcuno ti manda uno sfondo condiviso sull'msn messenger, ad esempio... ;-)
ultimate_sayan04 Ottobre 2005, 16:11 #6
Per Nockmaar:

A rigor di logica mi chiedo chi apra file tipo document.zip.exe
Eppure ci sono... eppure ci sono...
Sob...
Il fatto è che nessuno scarica .cab ma se partono mail con allegati fatti ad-hoc... lì nasce il problema.
Tutti gli antivirus hanno bisogno di un support che si chiama cervello altrimenti anche i migliori falliscono...
Nockmaar04 Ottobre 2005, 16:14 #7
Originariamente inviato da: nick768
Lo fai a tua insaputa ogni volta che qualcuno ti manda uno sfondo condiviso sull'msn messenger, ad esempio... ;-)


Non mi sembra una cosa che si fa tutti i giorni. E comunque il problema in quel caso e' sempre relativo, visto che non si prendono caramelle dagli sconosciuti, solitamente.

Il problema, semmai, e' per chi ha il .cab infetto, visto che Kaspersky "sembrerebbe" non riuscire ad individuarlo.

Chi riceve dovrebbe accorgersene, a meno che non abbia Kaspersky anche lui...

A me danno fastidio i commenti tipo "e' caduto un mito" e compagnia bella, visto che non sara' certo un overflow del genere a far ritenere uno schifo il Kaspersky.

Di advisors con "overflow" come subject ne escono a decine ogni giorno, per i piu' disparati e diffusi software.
Wonder04 Ottobre 2005, 16:20 #8
1. Chi è Alex Wheeler? Il primo pagliaccio che passa e spara una bufala?
2- Probabilmente al momento che questa news viene redatta il problema è stato già risolto da Kaspersky
ultimate_sayan04 Ottobre 2005, 16:26 #9
Eh già... Kaspersky è perfetta e non può sbagliare...
cionci04 Ottobre 2005, 16:28 #10
Con le dovute semplificazioni, pare che un file .CAB appositamente costruito possa superare il controllo antivirus dei prodotti Kaspersky, quindi se tale file malevolo viene allegato a un messaggio email il pc è potenzialmente esposto a rischi.

Sembra ancora peggio di così...un heap overflow implica che, con un CAB costruito ad hoc, si possa eseguire codice a piacere nella macchina ospite... Ovviamente con l'opportuno codice (una shell remota ad esempio) si può arrivare a prendere il controllo della macchina...e questo semplicemente ricevendo il CAB come allegato della mail...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^