antivirus to těžko pozná, buď by chyba musela mít jasný vzorec a šlo by jí snadno detekovat nebo by musel antivirus tyhle funkce simulovat a odchytávat přetečení dříve než na něj narazí VLC, což by mohlo být dost výpočetně náročné.
Jedná se o spuštění neautorizovaného kódu s právy dané aplikace, řešením je tedy striktně omezit možnosti aplikace, obě jmenované technologie k tomu mohou pomoc, stejně tak spousty dalších technik, ale to již není snadné nastavit.
Jo. Ve výsledku pak snahy antivirů detekovat takto obecně zranitelnosti mohou být – zvlášť v kontextu systému, který máme pod kontrolou – spíše „because we can“ než něco užitečného. Detekovat zneužití konkrétní zranitelnosti je v principu možné, ale vyžaduje to reakci na konkrétní chybu. Praktičtější nakonec asi bude záplatovat VLC. Detekovat obecněji třeba buffer overflow by sice asi šlo, ale binárky zkompilované s vhodnými parametry mohou tuto funkci zastat možné i lépe.
Dnešní CPUs podporují tzv. NX bit technologii. To v praxi znamená, že na HW úrovni se zajistí, že se zabrání spuštění kódu, který se nachází v datové části binárky a to zabraňuje útokům typu buffer overflow.
Zapneš to v biosu. Intel to má pojmenovaný Disable execute bit. AMD nějak jinak. Neznamená to ale, že ti to aplikaci neshodí.
25. 6. 2019, 11:18 editováno autorem komentáře
Principiálně AV to odchytit může na základě signatur či heuristiky a jiných metod, ale v praxi 'on the fly' si nemyslím.
Když vezmu v potaz, že by měl skenovat 1G soubor a nedej bože, jestli škodlivý kód je zabalený kodekem, kdy by se celý soubor musel dekomprimovat, tak ne. Max. si dokážu představit explicitní kontrolu u AV, který mají pro podporu. Hodně ale také záleží na typu útoku. Každopádně jak už tu padlo, tak cesta vede aktualizací SW.