42 ответов в этой теме

[pilot]

Вопрос в связи с обнаруженной свежей дыркой:

Microsoft выпустила экстренное исправление уязвимости PrintNightmare в Windows

https://www.comss.ru/page.php?id=9271

Уязвимость PrintNightmare связана с диспетчером очереди печати Windows и затрагивает все версии Windows. К сожалению, патч не полностью исправляет уязвимость, и злоумышленники по-прежнему могут ее эксплуатировать для получения привилегий SYSTEM.

 

Не сильно хочется всякие заплатки скачивать от дяди Билли (как бы хуже не стало).

Интересна реакция программы DrWeb на попытку использования злоумышленниками данной уязвимости. Пропустит хулюганов в ПК или заблокирует?

Хотелось бы подробный коммент от разработчиков DrWeb, про суть опасности и её актуальность для ПК с установленным DrWeb.

 

ps

обе рекомендуемые заплатки скачал:

https://support.microsoft.com/ru-ru/topic/july-6-2021-kb5004951-security-only-update-out-of-band-e05a81cd-9b45-4622-b715-ddb2367bca47

https://support.microsoft.com/ru-ru/topic/july-6-2021-kb5004953-monthly-rollup-out-of-band-b0e3bd48-924b-45c5-8b54-d8317aa62901

 

но ставить пока не спешу, жду ваших комментов, уважаемые разработчики DrWeb.

спасибо!

 

[TASS]

Не сильно хочется всякие заплатки скачивать от дяди Билли

Вроде бы он уже отошел от дел MS...

[pilot]

господа стафы, надо чо-нить ответить по существу, публика требуЕ и негодуЕ.

[basid]

Публика чего "требуЕ" и по какому поводу "негодуЕ"?

Если очень сильно не хочется "ставить патчи от дяди Билли" - остановите сервис спулера. Печатать, конечно, станет невозможно, но уязвимость будет нивелирована.

 

P.S.

Ну или холиварьте в свободном общении.

Сообщение было изменено basid: 13 Июль 2021 - 13:38

[skapunker]

Не сильно хочется всякие заплатки скачивать от дяди Билли (как бы хуже не стало).

они же сами ставятся, там думать не надо

[avn]

Вопрос в том, обеспечивает ли Dr.Web защиту от данной уязвимости при отсутствии установленного патча для Windows.
Для тех, кто не знает, обновление на Windows 7 / 2008 R2 установить невозможно, если у вас не приобретена услуга расширенной поддержки (ESU) от Microsoft. Обновление можно скачать, оно в открытом доступе, но установить его не получится.
Вопрос также связан с тем, что производитель другого российского антивируса еще на прошлой неделе опубликовал официальное сообщение о том, что этот другой антивирус такую защиту (при отсутствии обновления) обеспечивает.
Хотелось бы увидеть аналогичное официальное заявление и от Dr.Web.

[pilot]

Госпади! Спасибо тебе за такого толкового объяснятеля! Даже я, по подобию созданный, не смог так точно изложить свои мирские хотелки.
Спасибо и тебе, святой человек под скромным нимбом, тьфу, ником «avn», что донёс таки мысли мои в мир сей.

Ну таки соизволим ли мы, богоподобные соЗИдатели  антивируса туташняго, снизойти до простых мирян местных, дабы поведать им ответы точные на вопросы важные, да не доводить до греха искусительного заплатко установочного.

Аминь!

 

[skapunker]

Хотелось бы увидеть аналогичное официальное заявление и от Dr.Web.

а зачем уведомлять о том, в чем все равно никто не разбирается, да и всем пофиг

а во вторых, зачем антивирусу защищать от подобной уязвимости, если есть патчи ОС

антивирус вообще не об этом, да и есть же превентивная защита, которая этим как раз и занимается, тобишь нейтализовывает неизвестную дичь

[pilot]

пока Боги думают шо ответить... отправил оба файла-заплатки (из головного сообщения) на проверку как подозрительные.

Если ответа не дождемся, поставим уже эти затычки, та и фиг с ними...

[pig]

Ни один антивирус уязвимости системы не закрывает. Он может успешно прибивать вредоносов, лезущих сквозь дыру, но сама дыра никуда не денется, пока не будет установлена заплатка.

[SergSG]

Чисто теоретически, может по поведению блокировать.

Но есть ли у Доктора в базах и/или в эвристике этот функционал - хз.

[VVS]

Я сейчас скажу банальную истину, но, к сожалению, для многих эта банальность может оказаться откровением - ни один антивирус никогда не заменит патчей от производителя софта.

[usverg]

VVS, это, конечно, правильно. А если перефразировать вопрос: может ли АВ считать попытку эксплуатации уязвимости в коде достаточным признаком вредоносного ПО?

[VVS]

VVS, это, конечно, правильно. А если перефразировать вопрос: может ли АВ считать попытку эксплуатации уязвимости в коде достаточным признаком вредоносного ПО?

IMHO, если это локально, то, наверно, может.

А если это ремотно?

[usverg]

VVS, ремотами IDS/IPS должны заниматься. А локально, по идее, не только может, но и на уровне эвристики должен.

[SergSG]

 

VVS, это, конечно, правильно. А если перефразировать вопрос: может ли АВ считать попытку эксплуатации уязвимости в коде достаточным признаком вредоносного ПО?

IMHO, если это локально, то, наверно, может.

А если это ремотно?

 

Да, пожалуй. Сетевая защита у Доктора, мягко говоря, никакая - уровень конца нулевых. Поэтому при наличии возможности удаленной эксплуатации уязвимости, патч - единственный вариант защиты.

[VVS]

VVS, это, конечно, правильно. А если перефразировать вопрос: может ли АВ считать попытку эксплуатации уязвимости в коде достаточным признаком вредоносного ПО?

IMHO, если это локально, то, наверно, может.
А если это ремотно?

Да, пожалуй. Сетевая защита у Доктора, мягко говоря, никакая - уровень конца нулевых. Поэтому при наличии возможности удаленной эксплуатации уязвимости, патч - единственный вариант защиты.

Да пофиг конца нулевых или нет.
Устранять нужно причину, а не следствия.

[usverg]

VVS, это несомненно. Но во многих "вредоносных решениях" используется перебор уязвимостей (в т.ч. и неисправленных) - зафиксировали попытку эксплуатации любой из известных и в бан.

[VVS]

VVS, это несомненно. Но во многих "вредоносных решениях" используется перебор уязвимостей (в т.ч. и неисправленных) - зафиксировали попытку эксплуатации любой из известных и в бан.

Ну что-то подобное у доктора есть - "Защита от эксплойтов".

Насколько оно распространяется на обсуждаемое - это уж не ко мне вопрос.

[SergSG]

Устранять нужно причину, а не следствия.

Это глубока философский вопрос. Дыра не является причиной, она сама по себе является следствием. Ну а закрыть дыру изнутри или снаружи - это уже вопрос технических возможностей. Проще поставить патч, но не факт, что он прикрыв старую дыру не откроет новую.