Удаленный пользователь мог выполнить произвольный код, воспользовавшись ошибкой в приложениях ЛК.
Сотрудник Google Тэвис Орманди (Tavis Ormandy) обнаружил в антивирусных продуктах «Лаборатории Касперского» уязвимость, позволяющую удаленному пользователю выполнить произвольный код. Об этом он сообщил на своей странице в Twitter.
Брешь существует из-за ошибки переполнения памяти, затрагивающей конфигурации антивируса по умолчанию. Уязвимости подвержен «Антивирус Касперского» версии 2015 и 2016 года. О том, безопасны ли другие приложения ЛК (Kaspersky Internet Security и Kaspersky Total Security), пока неизвестно.
Исследователь сообщил о своих находках антивирусной компании. Исправление было выпущено в течение 24 часов. «Мы хотели бы поблагодарить мистера Тэвиса Орманди за его сообщение об уязвимости переполнения буфера, – сообщили представители ЛК. – Исправление было выпущено в течение 24 часов и установлено на компьютеры клиентов в ходе автоматического обновления».
Антивирусная компания заверила, что постоянно улучшает стратегии предотвращения эксплуатирования возможных брешей в своих продуктах. К примеру, ЛК использует такие технологии, как рандомизация адресного пространства (ASLR) и предотвращение выполнения данных (DEP).
Подробная информация об уязвимости доступна здесь: http://www.securitylab.ru/vulnerability/474587.php .