| Разработчики: | Cisco Systems, Sourcefire |
| Дата последнего релиза: | 2023/02/17 |
| Технологии: | ИБ - Антивирусы |
Содержание |
Основная статья: Антивирусы
ClamAV – кроссплатформенный антивирус с открытым исходным кодом, который преимущественно применяется для проверки почты на общедоступных почтовых серверах.
2023: Выявление уязвимостей CVE-2023-20032 и CVE-2023-20052
17 февраля 2023 года стало известно о том, что в бесплатном антивирусном пакете ClamAV компании Cisco были выявлены две опасные бреши. С их помощью злоумышленник может похитить любые файлы с компьютера жертвы или выполнить на нем произвольный код. Физический доступ к машине не понадобится – эксплуатировать «дыры» можно удаленно. Обе уязвимости обнаружил исследователь в области информационной безопасности Саймон Сканелл (Simon Scanell) из корпорации Google.
Как сообщалось, бреши закрыты специалистами Cisco в ClamAV версий 1.01, 0.150.3 и 0.103.8. Обновленные сборки программы можно загрузить с официального сайта проекта.
Первая из обнаруженных экспертами уязвимостей отслеживается под идентификатором CVE-2023-20032, ее опасность оценена экспертами в 9,8 балла из 10 возможных. Согласно информации, опубликованной на портале Cisco, брешь затрагивает парсер файлов формата HFS+.
Файлы формата HFS+ содержат образы диска на основе файловой системы HFS+ (Hierarchical File System Plus), разработанной Apple и применяемой в операционной системе macOS.Как защищать «поумневшие» промышленные сети: «Синоникс» на страже безопасного объединения изолированных сетей 
Для проверки такого образа на предмет наличия вредоносного ПО антивирусу необходимо его предварительно «распаковать», подобно тому как это происходит с архивами, к примеру, ZIP или RAR.
Парсер образов HFS+ ClamAV – модуль антивируса, который и отвечает за «распаковку» – содержит уязвимость, которая делает возможным выполнение злоумышленником произвольного кода.
Уязвимость вызвана ошибкой разработчиков, которые не предусмотрели проверку размера буфера в куче (heap), что позволяет атакующему записать в область за пределами буфера и вызвать выполнение кода с привилегиями процесса ClamAV или вызывать нештатную остановку самого процесса, тем самым приведя систему в состояние отказа в обслуживании (DoS condition).
Как поясняют в Cisco, для этого хакеру нужно доставить сформированный по особым правилам файл формата HFS+ на систему жертвы. Триггером начала атаки станет проверка антивирусом этого файла.
В блоге ClamAV упомянута и другая брешь – CVE-2023-20052 (опасность – 5,3 балла). Как и CVE-2023-20032, она имеет отношение к парсерсу и допускает утечку любых файлов на машине, к которым у процесса ClamAV имеется доступ. Однако на этот раз «виноват» парсер файлов образов формата DMG, который также в основном используется в операционной системе macOS. Атака начинается со «скармливания» антивирусу специально оформленного DMG-файла [1].
2007: Выкуп проекта
В 2007 г. проект был выкуплен у его ключевых разработчиков компанией Sourcefire, которая впоследствии – в 2013 г. – перешла под контроль Cisco.
Примечания
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203) ESET (ИСЕТ Софтвеа) (118) Лаборатория Касперского (Kaspersky) (77) Инфосистемы Джет (52) ДиалогНаука (51) Другие (873) R-Vision (Р-Вижн) (4) Card Security (Кард Сек) (4) Национальный аттестационный центр (НАЦ) (4) Инфосистемы Джет (3) Softline (Софтлайн) (3) Другие (54) А-Реал Консалтинг (3) BI.Zone (Безопасная Информационная Зона, Бизон) (2) Deiteriy (Дейтерий) (2) Информзащита (2) Лаборатория Касперского (Kaspersky) (2) Другие (41)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 364) ESET (ИСЕТ Софтвеа) (21, 141) Доктор Веб (Dr.Web) (17, 61) UserGate, Юзергейт (ранее Entensys) (3, 19) Fortinet (11, 15) Другие (362, 139) R-Vision (Р-Вижн) (1, 4) Trend Micro (2, 3) Лаборатория Касперского (Kaspersky) (2, 3) Fortinet (2, 1) F.A.C.C.T. (ранее Group-IB в России) (1, 1) Другие (3, 3) Лаборатория Касперского (Kaspersky) (4, 5) А-Реал Консалтинг (1, 3) BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1) UserGate, Юзергейт (ранее Entensys) (1, 1) R-Vision (Р-Вижн) (1, 1) Другие (1, 1) Лаборатория Касперского (Kaspersky) (2, 4) UserGate, Юзергейт (ранее Entensys) (1, 4) F.A.C.C.T. (ранее Group-IB в России) (1, 1) CloudLinux (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87 Kaspersky Endpoint Security - 81 Kaspersky Security - 80 ESET NOD32 Business Edition - 51 Dr.Web Enterprise Security Suite - 35 Другие 429 R-Vision SGRC Центр контроля информационной безопасности - 4 Trend Micro: Deep Discovery - 2 Kaspersky Industrial CyberSecurity (KICS) - 2 Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1 FortiGate - 1 Другие 5 Kaspersky Endpoint Security - 3 А-Реал Консалтинг: Интернет-шлюз ИКС - 3 Kaspersky Industrial CyberSecurity (KICS) - 1 Kaspersky ASAP Automated Security Awareness Platform - 1 R-Vision SGRC Центр контроля информационной безопасности - 1 Другие 3 
