26 maja 2006

Kaspersky Anti-Virus 6.0 oraz Kaspersky Internet Security 6.0 - błędy w monitorze antywirusowym HTTP i POP3

Pewien czas temu nieznany badacz umieścił dwie wiadomości (pierwsza wiadomość, druga wiadomość) na listach dyskusyjnych SecurityFocus. Wiadomości te zrodziły dyskusję w Internecie: w pierwszej wiadomości jej autor twierdzi, że monitor HTTP wchodzący w skład programu Kaspersky Internet Secutity KIS 6.0 nieprawidłowo obsługuje żądania HTTP, gdy są one przesyłane bajt po bajcie. Autor wiadomości zakłada, że błąd ten jest krytyczny i poddaje w wątpliwość efektywność produktu Kaspersky Lab.

Oficjalne stanowisko Kaspersky Lab

Zgadzamy się z tym, że żądania przygotowane w opisany powyżej sposób nie będą przetwarzane przez moduł Ochrona WWW wchodzący w skład produktu Kaspersky Internet Security 6.0.

Jednak, zapewniamy, że powszechnie używane przeglądarki internetowe (MS Internet Explorer, Mozilla Firefox, Opera) i programy służące do pobierania plików nigdy nie wysyłają żądań do serwerów w takiej postaci.

Kod opublikowany na liście dyskusyjnej SecurityFocus mógłby zatem zostać wykonany wyłącznie poza przeglądarką, przez program przygotowany specjalnie do przeprowadzenia takiej operacji. Programy, które wykonują takie funkcje (pobieranie szkodliwych programów poprzez obejście mechanizmów zabezpieczających) klasyfikowane są jako Trojan-Downloadery.

Programy należące do tej klasy nie są ograniczone do protokołu HTTP i mogą wykorzystywać wszelkie formy szyfrowania oraz dowolny protokół do pobierania szkodliwego oprogramowania.

Moduł Ochrona WWW programu Kaspersky Internet Security 6.0 nie służy do ochrony przed procesami Trojan-Downloaderów uruchamianych na komputerze. Funkcję tę realizują następujące moduły programu:

  • Anti-Hacker
  • Ochrona proaktywna
  • Ochrona plików

Oznacza to, że Kaspersky Internet Security 6.0 zapewnia pełną ochronę a ujawniona "luka" nie wpływa w żaden sposób na poziom zabezpieczenia komputera.

Druga wiadomość opublikowana na forum SecurityFocus rzekomo demonstruje obecność luki w monitorze POP3. Przedstawiony skrypt nie imituje programu pocztowego (żaden klient poczty nie działa w ten sposób) lecz jest kolejnym Trojan-Downloaderem. Skrypt nie demonstruje obecności luki w systemie chroniącym ruch pocztowy. Jest on raczej szkodliwym programem, który pozwala na pobieranie wirusów poprzez protokół POP3 z ominięciem modułu Ochrona poczty wchodzącego w skład Kaspersky Internet Security 6.0.

Innymi słowy, w celu wykorzystania tej luki i pobrania szkodliwych programów podczas funkcjonowania aplikacji Kaspersky Internet Security 6.0 konieczne jest uruchomienie specjalnego narzędzia, które nie jest klientem poczty. Oznacza to, że użytkownicy korzystający ze standardowych klientów poczty POP3 nie są w żaden sposób zagrożeni.

Mimo to, w celu wyeliminowania jakiejkolwiek możliwości infekcji komputera poprzez specjalnie spreparowane programy firma Kaspersky Lab opublikowała już specjalne uaktualnienia dla programów Kaspersky Anti-Virus 6.0 oraz Kaspersky Internet Security 6.0.

Eksperci z firmy Kaspersky Lab wyrażają ubolewanie, że informacja, która potencjalnie mogła spowodować zagrożenie została opublikowana na forum, a nie - jak ma to standardowo miejsce w świecie bezpieczeństwa - przesłana bezpośrednio do producenta oprogramowania.