Почти в трёх десятках антивирусов найден баг, позволяющий удалять данные
Специалисты Rack911 Labs раскрыли информацию, которая может поставить под угрозы миллионы компьютеров под управлением ОС Windows, MacOS и Linux. Как оказалось, в 28 антивирусных программах есть ошибки, которые позволяют злоумышленникам удалять файлы. В списке есть, к примеру, Microsoft Defender, McAfee Endpoint Security, Malwarebytes и другие.
Речь идёт об уязвимостях Symlink races, которые эксплуатируют символические ссылки. Суть в том, что многие программы создают такие ссылки на файл, если он недоступен иным способом. Приложение формирует связанный файл с тем же именем, что и символическая ссылка. В него вставляется содержимое, которое может быть любым, в том числе эксплойтом для обхода защиты.
Получается, что злоумышленники могут связать вредоносные файлы с безопасными, используя промежуток времени между сканированием файла с помощью антивируса и его удалением.
Справедливости ради отметим, что этот метод выступает расширением уже существующей атаки, а не способом проникнуть в систему с нуля. Также важно, что создатели AVG , F-Secure , McAfee и Symantec уже исправили эти ошибки, хотя в других антивирусах они всё ещё есть.