GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-06-27) - page 1 of 10
 
___________________________________________________________________
Avast Antivirus Remote Stack Buffer Overflow with Magic Numbers
121 points by landave
https://landave.io/2017/06/avast-antivirus-remote-stack-buffer-o...
___________________________________________________________________
 
rust_for_life - 29 minutes ago
Couldn't they have avoided it by writing a type-safe parser in
Rust?
 
  chrisper - 14 minutes ago
  Don't make novelty accounts. It is against the rules...
 
jerardope - 9 hours ago
Wow. It seems as if this has been discovered by rigorous manual
inspection of the code (as opposed to just fuzzing the binary to
death).Hats off!
 
  landave - 4 hours ago
  I'm sorry to disappoint you :)I discovered this via a coverage
  based fuzzing engine with a dictionary (containing those magic
  numbers). Said fuzzing engine is similar to libFuzzer, but I have
  designed it with a focus on fuzzing closed source Windows
  binaries (PE).
 
azinman2 - 2 hours ago
I bet Avast is far from the only software that will get really
confused with so many magic numbers in a row like this.
 
baq - 1 hours ago
this is the second AV fiasco in recent months. is it safe to say
that running an antivirus is actually increasing your risk instead
of decreasing it?
 
  zeta0134 - 16 minutes ago
  My own thought process on this is the following: Some parts of
  antivirus software do good work. Understanding that antivirus
  software is no substitute for real security, but more like a
  helpful layer to try to catch things that otherwise might sneak
  in, helps a lot in using it successfully. On that level, software
  which scans downloaded files before opening them, and
  periodically scans the filesystem passively for any known
  threats, is not bad. I agree that patching the software of its
  bugs in the first place is a better goal, but it doesn't hurt to
  have an in-between option that helps out a little bit. Of course,
  such software rarely needs to be a third-party suite, as
  Microsoft's own Windows Defender software performs this task
  decently.Where things get hairy are antivirus suites in
  particular. It's one thing to passively scan files, but AV suites
  have a bad habit of hooking into the operating system and making
  other changes, usually in the name of real-time monitoring. This
  is where I feel their supposed benefits fall flat. It would be
  one thing if these hooks were also passive, but Windows and most
  other operating systems make it difficult to access the kernel's
  data on purpose, and I don't trust an antivirus suite to do so in
  a safe manner. It's one thing for an exploit to compromise
  passive scanner running with userland permissions, and another
  thing entirely to exploit an AV suite with direct kernel access.
  The latter can cause the security features to backfire pretty
  hard.
 
  landave - 1 hours ago
  Honestly, I'm quite surprised about the strong reaction. I
  thought it was common knowledge that this kind of software is
  full of bugs.During the last year, I discovered dozens of bugs in
  different widespread anti-virus products. Not all of them can be
  as easily explained as this one and only a few a as critical as
  this one, but still...Concerning your question: In general, I
  consider it quite difficult (if not impossible) to give a
  concrete answer. The software, as it is now, is just in a
  horrible state. Depending on what your threat model is, how
  experienced you are as a user, it might very well decrease your
  system security.
 
staticassertion - 2 hours ago
Take a lesson - always write parsers in C and then execute them as
root, and be sure to send as much malicious content to them as
possible. Bonus points for hooking it up to the internet.
 
  pjmlp - 2 hours ago
  Addicionally ignore all the advices given by the Algol community
  since the 1960's, in spite of the fact the customers were more
  than happy with the output of their compilers.
 
jacquesm - 50 minutes ago
Avast Antivirus, now with free remote reset option.I always hated
anti virus packages both for the fact that AV vendors profit on
something that shouldn't be required in the first place and because
that software tends to hook into lots of places in the OS so if a
backdoor is found you are immediately in big trouble.
 
kronos29296 - 2 hours ago
You sir are a genius. Hoping for more posts of a similar nature and
bookmarking now.
 
  landave - 2 hours ago
  Wow, thanks! That means a lot to me. Honestly, I didn't expect
  this to interest anyone.
 
    kuschku - 1 hours ago
    Your post is also featured on one of Germany?s largest tech
    blogs, btw. Seems like everyone is suddenly interested in this
    :)
 
    eyelidlessness - 1 hours ago
    I'd think the discovery of a remote execution bug in a
    prominent antivirus product would interest a lot of people.
 
    kronos29296 - 2 hours ago
    I am a novice programmer and as novice programmers go, I am
    interested in everything tech and coding as much as I can
    understand. Takes a while to understand but uniquely
    interesting.(Read - never read something in this field)