До настоящего момента я думал, что в восьмерке детект инсталляторов стал независимым от конфигурации хипса и автопесочницы. Все оказалось куда кривее и нелепее...
воскресенье, 30 ноября 2014 г.
пятница, 28 ноября 2014 г.
Готова первая статья про Comodo Internet Security 8
Установка и предварительная настройка Comodo Internet Security (версии 8):
предварительные замечания о Comodo Internet Security 8, опции установки, управление конфигурациями, важные параметры, способы обновления
предварительные замечания о Comodo Internet Security 8, опции установки, управление конфигурациями, важные параметры, способы обновления
пятница, 14 ноября 2014 г.
Уязвимость Comodo к портативным браузерам
В статьях небольшие добавления о статусе доверенного инсталлятора и о проблеме прикладных программ с этим статусом.
Выяснилось, что проблема далеко не редкая. Comodo Internet Security наделяет статусом инсталлятора не только программы, запрашивающие права администратора или превосходящие 40 МБ.
Внезапно «доверенными инсталляторами» оказались некоторые стартеры в сборках PortableApps. По крайней мере, это касается текущих версий Firefox Portable, Google Chrome Portable, Opera Portable. Вниманию пользователей этих браузеров: вы сидите на пороховой бочке! Полностью отсутствует контроль над программами, запускаемыми из браузера. Более того — скачиваемые программы могут автоматом заноситься в доверенные.
Напомню: чтобы проверить, имеет ли какая-либо программа статус «инсталлятора», следует найти ее в списке активных процессов. Если указан рейтинг «Доверенный/Установка», то контроль над дочерними процессами отсутствует.
Для CIS 7 есть решение. Следует файлу FirefoxPortable.exe (или GoogleChromePortable.exe и т.п.) назначить в HIPS политику «Системное приложение». И этот же файл добавить в окно «Поведенческий анализ» > «Не блокировать файлы из этого списка» (галку «Исключить дочерние процессы» не ставить). После этого дочерние процессы будут контролироваться.
В CIS 8 Beta проблема пока не решаема.
Видео по теме прикреплено к моему баг-репорту (требуется регистрация).
Update: Единственное, что остается предложить для CIS 8:
1) на вкладке Sandbox отключить опцию «Обнаруживать программы, требующие повышения привилегий»;
2) включить автопесочницу, причем с правилами наподобие режима Proactive Security;
3) добавить правило автопесочницы:
- действие: «Игнорировать»,
- цель: группа «Средства обновления Windows»,
- опцию «Не применять выбранное действие к дочерним процессам» оставить отключенной,
- расположить это правило вверху;
4) на вкладке настройки рейтинга файлов отключить опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».
В результате приложения, запускаемые «доверенными инсталляторами», будут контролироваться автопесочницей, и не будет происходить автоматическое занесение файлов в доверенные.
Но даже эти меры отменяют не все привилегии «доверенных инсталляторов»: они и их дочерние процессы останутся не подконтрольны HIPS.
Выяснилось, что проблема далеко не редкая. Comodo Internet Security наделяет статусом инсталлятора не только программы, запрашивающие права администратора или превосходящие 40 МБ.
Внезапно «доверенными инсталляторами» оказались некоторые стартеры в сборках PortableApps. По крайней мере, это касается текущих версий Firefox Portable, Google Chrome Portable, Opera Portable. Вниманию пользователей этих браузеров: вы сидите на пороховой бочке! Полностью отсутствует контроль над программами, запускаемыми из браузера. Более того — скачиваемые программы могут автоматом заноситься в доверенные.
Напомню: чтобы проверить, имеет ли какая-либо программа статус «инсталлятора», следует найти ее в списке активных процессов. Если указан рейтинг «Доверенный/Установка», то контроль над дочерними процессами отсутствует.
Для CIS 7 есть решение. Следует файлу FirefoxPortable.exe (или GoogleChromePortable.exe и т.п.) назначить в HIPS политику «Системное приложение». И этот же файл добавить в окно «Поведенческий анализ» > «Не блокировать файлы из этого списка» (галку «Исключить дочерние процессы» не ставить). После этого дочерние процессы будут контролироваться.
В CIS 8 Beta проблема пока не решаема.
Видео по теме прикреплено к моему баг-репорту (требуется регистрация).
Update: Единственное, что остается предложить для CIS 8:
1) на вкладке Sandbox отключить опцию «Обнаруживать программы, требующие повышения привилегий»;
2) включить автопесочницу, причем с правилами наподобие режима Proactive Security;
3) добавить правило автопесочницы:
- действие: «Игнорировать»,
- цель: группа «Средства обновления Windows»,
- опцию «Не применять выбранное действие к дочерним процессам» оставить отключенной,
- расположить это правило вверху;
4) на вкладке настройки рейтинга файлов отключить опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».
В результате приложения, запускаемые «доверенными инсталляторами», будут контролироваться автопесочницей, и не будет происходить автоматическое занесение файлов в доверенные.
Но даже эти меры отменяют не все привилегии «доверенных инсталляторов»: они и их дочерние процессы останутся не подконтрольны HIPS.
Подписаться на:
Сообщения (Atom)