查看: 2984|回复: 15
收起左侧

[其他相关] 有没人了解这个问题解决了没---各大杀软

[复制链接]
柯林
发表于 2018-11-5 18:16:57 | 显示全部楼层 |阅读模式
前不久资讯区有帖子说,“微软为首次实现把自家杀毒软件运行在沙箱里而自豪”,据说是“世界首例”,一开始不懂微软干嘛这么“自豪”
后来看到去年的旧闻,貌似是为了补锅:

http://www.sohu.com/a/130047800_631915
http://tech.sina.com.cn/roll/201 ... oct=0&rfunc=100

都过去一年多了,不知道被点名的各大杀软,有没有解决这个问题?

pal家族
发表于 2018-11-5 19:06:32 | 显示全部楼层
其实并不觉得这算是杀毒软件的bug
https://support.kaspersky.com/vulnerability.aspx?el=12430#220317这都快两年了吧。。。。。

Advisory issued on 22th March, 2017Description
Kaspersky Lab has fixed a vulnerability found by Cybellum Technologies which made a DLL Hijacking attack possible, via an undocumented feature of Microsoft Application Verifier. This allows the attacker to inject code into most OS processes, not just security solutions. It should be mentioned that this attack can only be performed thorough a local vector, when the attacker has already penetrated the device. The attacker has to infect the attacked computer with malicious software in advance, and escalate its privilege on the device in order to register a new Application Verifier Provider DLL – both actions require an attacker to use a range of other tools.

Fixed Versions
The detection and blocking of this malicious scenario has been added to all Kaspersky Lab products from 22 March. In order to stay protected, Kaspersky Lab recommends all customers keep their security solutions up to date and do not disable behavior-based detection features.
Kaspersky Lab will also incorporate additional protection measures into the next updates to its flagship security products. These will block the attack attempts described at different levels. The security solutions to be updated accordingly are:
  • Kaspersky Anti-Virus 2018
  • Kaspersky Internet Security 2018
  • Kaspersky Total Security 2018
  • Kaspersky Small Office Security 2018

AcknowledgmentsWe would like to extend our thanks to Cybellum Technologies for reporting this bug to Kaspersky Lab.


柯林
 楼主| 发表于 2018-11-5 22:28:37 | 显示全部楼层
pal家族 发表于 2018-11-5 19:06
其实并不觉得这算是杀毒软件的bug
https://support.kaspersky.com/vulnerability.aspx?el=12430#220317这 ...

英文不好,看着费劲
确实不是杀软的问题,应该是微软的锅
去年的帖子,提到了各大著名杀软,最近微软又整出“把WD运行在沙箱里”,有点好奇
hez2010
发表于 2018-11-6 00:08:05 来自手机 | 显示全部楼层
就是说杀毒软件本身可能存在漏洞导致系统的攻击面反而变大,让系统更加不安全。把自己放到沙箱里就解决了这个问题。
ELOHIM
发表于 2018-11-6 08:24:58 | 显示全部楼层
柯林 发表于 2018-11-5 22:28
英文不好,看着费劲
确实不是杀软的问题,应该是微软的锅
去年的帖子,提到了各大著名杀软,最近微软又 ...
Cybellum表示,这个问题的原因并不在微软,而是与防病毒软件厂商有关,它有可能被用于攻击使用以上那些受影响的防病毒产品的公司或组织。
值得注意的是,目前唯一能防止该攻击的是Windows Defender。这是因为它单独使用了被称为保护进程的Windows机制,在内核中保护专门用于保护以用户模式运行的反恶意软件服务。微软在Windows 8.1中引入了这一功能,但很明显没有安全厂商采用该技术。
正如微软所说,大多数反恶意软件产品都有一个用户模式的服务,通常用于下载新的病毒定义和更新。
虽然第三方开发人员可以使用一些技术来保护这些更新服务免受攻击,但它们并不是万无一失的。受保护的进程确保用户模式服务只允许受信任的代码加载并屏蔽它们免受管理服务启动的攻击。


好像不是微软的锅。。
柯林
 楼主| 发表于 2018-11-6 08:36:27 | 显示全部楼层
ELOHIM 发表于 2018-11-6 08:24
好像不是微软的锅。。

去年的帖子说,是那个什么APP查看器引起“不安全的dll注入所有进程“,应该是微软的锅
你引的这个翻译,似乎又把问题甩给了杀软,不知道是不是微软在踢皮球(总感觉是微软权限管理不严谨带来的后遗症)
ELOHIM
发表于 2018-11-6 21:52:48 | 显示全部楼层
柯林 发表于 2018-11-6 08:36
去年的帖子说,是那个什么APP查看器引起“不安全的dll注入所有进程“,应该是微软的锅
你引的这个翻译, ...

所以,在没有证据的前提下,我们只能猜一下。
并不能真实地反映出真相。
不过,微软的可能性比较大。
con16
发表于 2018-11-6 22:38:03 | 显示全部楼层
那些早就補好
记录微笑
发表于 2018-11-6 23:06:27 来自手机 | 显示全部楼层
ELOHIM 发表于 2018-11-6 08:24
好像不是微软的锅。。

这种保护技术eset早就开始使用了,卡巴2019版也加入了这一技术。有人试过,用了ppl技术,无论doubleagent怎么摧残eset都没有成功把他关掉。
nuaaaaun
发表于 2018-11-10 12:25:59 来自手机 | 显示全部楼层
搞不懂
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 10:57 , Processed in 0.126731 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表