Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Мы вроде пришли к мнению, что системные уязвимости... 08.08.08 14:41 Число просмотров: 2558
Автор: Garick <Yuriy> Статус: Elderman
|
> Потому как АВ в таком случае уже научаться присекать атаку > по используемой уязвимости, т.к. антивирусные базы, в > сравнении с ОС, обновляются пользователями намного чаще > даже на пиратских копиях АВ. Мы вроде пришли к мнению, что системные уязвимости необходимо закрывать системными патчами :)
Если есть канал доставки решения - то исправление целесообразней, чем латание :)
> У каждого АВ свой формат БД сигнатур, а MS ForeFront > использует ядра сторонних производителей. Кроме сигнатур можно и затягивать критические исправления. Такая себе расширенная сигнатура :)
> В общем случае да, но все же меньше, чем использующий > уязвимость рабочий эксплойт. Эксполита еще нет. Есть инфа у разработчика об уязвимости.
Эту инфу он передает АВ разработчикам. На сигнатуры накладывается эта инфа. Инфа всегда отражается :) Те по анализу сигнатур, можно найти инфу об уязвимости, причем ее может быть достаточно для написания эксполита. При этом эксполиты также могут появиться до появления обновления.
> Препарировать не проблема. Весь сыр-бор из-за того, что > имея программные модули из патча, сравнительным анализом > проще определить в каком месте и что пропатчено. Но если АВ > научаться отлавливать атаки раньше, чем обновления > безопасности ОС попадут в руки black hat'ов, то > сравнительный анализ патча для последних будет > бессмысленным.
Безопасность АВ и безопасность системы идут последовательно и надежности одной из них достаточно (в рассматриваемом случае с системными уязвимостями и одинаковым системным окружением/ограничениями), поэтому не важно кто из них первый отреагирует на появившуюся угрозу, лишь бы эта реакции была быстрее хакерской. А реакцию (доставку решения) может (если захочет :) ) обеспечить любая из систем безопасности. Только МС не хочет делегировать доставку сових решений и закрывает свои дыры более оперативными решениями АВ :)
|
|
|