По поводу как бы закрытого в CIS 8.2.0.4978 бага:
Fixed:
...
ACLs on Comodo's folder in %ProgramData% allow unauthorized users write access
Сначала я наивно подумал, что разработчиков, наконец, озарило очевидное соображение, что негоже хранить базу в каталоге, открытом для изменений ограниченными пользователями. Проблема не ахти какая фатальная, учитывая легкость устранения, но она есть.
Для пущего эффекта показал, как из-под гостя можно грохнуть даже запароленный админом CIS.
Комодовцы в лице Egemen'а стали отрицать проблему идиотской мантрой про «пользовательский обход». А устраненная ими уязвимость относилась к другой ситуации: возможности повышения прав процесса, выполнявшегося с привилегиями ниже пользовательских. Слегка поддавшись этой мантре, я решил все же посмотреть а-чем-там-у-касперского и прочих.
Что увидел. Касперский, Симантек и Аваст тоже хранят данные в %ProgramData%
. Но для некоторых их подкаталогов в правах доступа группы «Пользователи» отсутствует одна маленькая, но гордая птичка: «Особые разрешения». Эти разрешения есть у самого %ProgramData%
, и именно они дают доступ на запись. (Кстати, вышеупомянутый гость, казалось бы, не принадлежащий к этой группе, получает ее права при интерактивном входе в систему.)
Группе «Администраторы» якобы открыт полный доступ к этим подкаталогам, но внести изменения не удается — наверно, блокируют сами антивирусы.
Однако у разных подкаталогов права доступа были разными, причем иногда они выглядели довольно странно.
И действительно — каталог, открытый на полный доступ группе «Все», был доступен для записи. Будем надеяться, что критически важных данных в нем не бывает...
Но в целом подтверждалось ожидаемое поведение: запись в отдельные каталоги запрещалась даже администратору.
Вернемся к Comodo. Естественно было бы ожидать, что комодовцы заб(ы|и)ли ужесточить доступ, оставив разрешения по умолчанию. Но ситуация оказалась веселее.
Каталог %ProgramData%\Comodo
защищен от записи членами групп «Пользователи» и «Все». Но к подкаталогу %ProgramData%\Comodo\Firewall Pro
, где и хранится база, открыт полный доступ группе «Все».
Занавес.