[bug]卡巴斯基anti-spy组件存在可能偶然性的dns服务器地址被屏蔽.
此文用到的名词解释
QUOTE:
anti-spy:一个卡巴斯基安全套装的模块名称,用于拦截相关的反间谍活动。这个组件在卡巴7中改名为:Privacy Control(隐私控制);卡巴6中为Anti-spy(反间谍),为了阐述方便,文章中所提到的anti-spy都特指卡巴7的Privacy Control或卡巴6的Anti-spy模块。
载要
QUOTE:
本文的目标读者:使用卡巴斯基安全套装的用户
漏洞的影响:导致无法解析dns
严重等级个人用户:低/服务器用户:高
建议:等待卡巴官方的解释和补丁
漏洞的影响:导致无法解析dns
严重等级个人用户:低/服务器用户:高
建议:等待卡巴官方的解释和补丁
临时解决方案:
QUOTE:
关闭卡巴斯基自带的anti-spy组件,警告:此方法仅适用于临时对策,这将导致您丧失对于反间谍的相关功能.
受影响的程序:
QUOTE:
卡巴斯基 6 工作站版
卡巴斯基 7 安全套装截至2007年06月30日前发布的所有版本.
卡巴斯基 7 安全套装截至2007年06月30日前发布的所有版本.
不受影响的程序:
QUOTE:
卡巴斯基 1-5版本
卡巴斯基 6 安全套装
卡巴斯基 6 个人版
卡巴斯基 7 个人版
以及,没有选择anti-spy组件安装的卡巴斯基安全套装版本
以及其他未在受影响的程序列表中存在的卡巴斯基产品的kis/kav版本
卡巴斯基 6 安全套装
卡巴斯基 6 个人版
卡巴斯基 7 个人版
以及,没有选择anti-spy组件安装的卡巴斯基安全套装版本
以及其他未在受影响的程序列表中存在的卡巴斯基产品的kis/kav版本
漏洞的相关技术细节:
发生问题的原因:
QUOTE:
卡巴斯基在6工作站版和7版本中使用了新的网络拦截技术,称之为Kaspersky Anti-Virus NDIS Filter,由于anti-spy的某些错误的设计,导致dns服务器被屏蔽,出现无法连接DNS的现象,从而导致断网.
于此漏洞的相关问题:(FAQ)
QUOTE:
这个漏洞是否让我永远无法上网?
不是的,这个漏洞是偶然性的,并非每次都发生.可能很久,也可能经常性.这个与本地环境有关.从我i个人的测试的结果看2000的系统出问题的几率低于xp系统。
有时候打开网页会显示无法连接,但刷新1次或几次就可以了,不知道是否是因为这个BUG
从技术上看,不属于这个bug的影响,当然,卡巴斯基在防火墙模块的确有临时中断网页浏览的情况发生.(主要是卡巴的资源机制作的不好,导致中断,这个在本文的详细的技术细节中会提到.)当然也不是全都是卡巴的关系,其他的原因也会如此(例如对方服务器繁忙等.)
曾经偶然遇到无法登陆网络,但是重新启动路由器后正常,这个属于此bug的影响范围么?
如果您确信您的路由器没有故障,那么属于此bug的影响范围内。
路由器的复位可以导致网卡重置,由于Kaspersky Anti-Virus NDIS Filter属于驱动,所以,网卡的重置可以复位Kaspersky Anti-Virus NDIS Filter。也就可以恢复网络,所以,是这个bug的原因。
如何知道我受了这个漏洞的影响?
你可以把qq打开,当漏洞出现的时候,您的qq会显示离线状态,并不断的尝试登陆.但是却无法连接服务器.
于此同时,您的ie将打不开新的页面.
另外,在命令提示符下,您无法通过ping xxx.xxx.xxx.xxx的方式ping通您所在的dns地址.
对于这个漏洞,卡巴官方有解释么?
目前没有.但已经向卡巴斯基中国部反映。
这个漏洞会导致我的资料丢失或被外界攻击么?
从目前的情况分析,不会。
如果我不想关闭anti-spy,又被这个漏洞困扰怎么办?
您可以打开卡巴斯基的主界面,在右侧找到anti-spy(反间谍)模块,关闭这个模块,注意不是暂停。然后在弹出来的对话框中选择 是(yes)
之后,再启用anti-spy(反间谍)模块
我是服务器的用户,是否对此有损失?
卡巴斯基对于服务器用户有专用的服务器版本,卡巴斯基服务器版本不在此漏洞涉及范围内。
通过修改msi安装包安装kis的用户可能会产生影响,但是这是违反软件的反破解条约在先,造成的损失不受法律保护。
你说的Kaspersky Anti-Virus NDIS Filter到底是什么?
Kaspersky Anti-Virus NDIS Filter从名字上看就可以知道是一个Filter(筛子),就好像一条河流中的大坝,由他挑选那些河水中的鱼可以过去,那些鱼不能过去。
Kaspersky Anti-Virus NDIS Filter属于双向拦截。他的位置抽象的说是这样的。
外部流量<------>Kaspersky Anti-Virus NDIS Filter<---->本机。
当Kaspersky Anti-Virus NDIS Filter工作的时候,所有的流量都将经过他的筛选(不论进出)。
但是,如果Kaspersky Anti-Virus NDIS Filter出了问题(例如卡住了/程序死掉了),那么和断网是一个概念。
这也是导致了个别用户觉得卡巴7比较卡网的原因,
当然,如果您的电脑配置比较好,那就会觉得快与卡巴6,因为这种基于中间件拦截的技术处理比较快,而且拦截比较完美。
官方对于此组件的解释为:http://support.kaspersky.com/faq/?qid=208279317
不是的,这个漏洞是偶然性的,并非每次都发生.可能很久,也可能经常性.这个与本地环境有关.从我i个人的测试的结果看2000的系统出问题的几率低于xp系统。
有时候打开网页会显示无法连接,但刷新1次或几次就可以了,不知道是否是因为这个BUG
从技术上看,不属于这个bug的影响,当然,卡巴斯基在防火墙模块的确有临时中断网页浏览的情况发生.(主要是卡巴的资源机制作的不好,导致中断,这个在本文的详细的技术细节中会提到.)当然也不是全都是卡巴的关系,其他的原因也会如此(例如对方服务器繁忙等.)
曾经偶然遇到无法登陆网络,但是重新启动路由器后正常,这个属于此bug的影响范围么?
如果您确信您的路由器没有故障,那么属于此bug的影响范围内。
路由器的复位可以导致网卡重置,由于Kaspersky Anti-Virus NDIS Filter属于驱动,所以,网卡的重置可以复位Kaspersky Anti-Virus NDIS Filter。也就可以恢复网络,所以,是这个bug的原因。
如何知道我受了这个漏洞的影响?
你可以把qq打开,当漏洞出现的时候,您的qq会显示离线状态,并不断的尝试登陆.但是却无法连接服务器.
于此同时,您的ie将打不开新的页面.
另外,在命令提示符下,您无法通过ping xxx.xxx.xxx.xxx的方式ping通您所在的dns地址.
对于这个漏洞,卡巴官方有解释么?
目前没有.但已经向卡巴斯基中国部反映。
这个漏洞会导致我的资料丢失或被外界攻击么?
从目前的情况分析,不会。
如果我不想关闭anti-spy,又被这个漏洞困扰怎么办?
您可以打开卡巴斯基的主界面,在右侧找到anti-spy(反间谍)模块,关闭这个模块,注意不是暂停。然后在弹出来的对话框中选择 是(yes)
之后,再启用anti-spy(反间谍)模块
我是服务器的用户,是否对此有损失?
卡巴斯基对于服务器用户有专用的服务器版本,卡巴斯基服务器版本不在此漏洞涉及范围内。
通过修改msi安装包安装kis的用户可能会产生影响,但是这是违反软件的反破解条约在先,造成的损失不受法律保护。
你说的Kaspersky Anti-Virus NDIS Filter到底是什么?
Kaspersky Anti-Virus NDIS Filter从名字上看就可以知道是一个Filter(筛子),就好像一条河流中的大坝,由他挑选那些河水中的鱼可以过去,那些鱼不能过去。
Kaspersky Anti-Virus NDIS Filter属于双向拦截。他的位置抽象的说是这样的。
外部流量<------>Kaspersky Anti-Virus NDIS Filter<---->本机。
当Kaspersky Anti-Virus NDIS Filter工作的时候,所有的流量都将经过他的筛选(不论进出)。
但是,如果Kaspersky Anti-Virus NDIS Filter出了问题(例如卡住了/程序死掉了),那么和断网是一个概念。
这也是导致了个别用户觉得卡巴7比较卡网的原因,
当然,如果您的电脑配置比较好,那就会觉得快与卡巴6,因为这种基于中间件拦截的技术处理比较快,而且拦截比较完美。
官方对于此组件的解释为:http://support.kaspersky.com/faq/?qid=208279317
详细的技术细节:
QUOTE:
出错的模块:
anti-spy模块
概述:anti-spy模块的某些设计上的失误导致了错误的把DNS服务器当成了有害的地址而屏蔽。但是,anti-spy的日志中却并没有记录此次的拦截,导致了问题变得难以察觉。
这次的漏洞属于设计上的漏洞,不涉及安全问题,但是暴露了anti-spy和新的拦截方式:Kaspersky Anti-Virus NDIS Filter之间的兼容性问题。
在关闭了anti-spy的同时,会导致Kaspersky Anti-Virus NDIS Filter的复位,从而出现短时间的断网并在1秒后恢复,这也是设计上需要修正的问题。
同时影响到的还有Kaspersky Anti-Virus NDIS Filter的流量问题,由于Kaspersky Anti-Virus NDIS Filter的实现原理的约束,如果Kaspersky Anti-Virus NDIS Filter的执行效率出现问题,可能导致所有的网络资源无法得到有效利用,成为效率瓶颈。
但是Kaspersky Anti-Virus NDIS Filter的效率是取决于位于ring3的kav模块来完成的,最突出的现象就是当cpu100%的时候持续3秒,就会出现断网,直到cpu<90%.
这种设计在提高了拦截的可靠性的同时,对于用户的gui程序的运行效率提出了很高的要求,至少现在还不适合中国大陆的现有计算机民情。
anti-spy模块
概述:anti-spy模块的某些设计上的失误导致了错误的把DNS服务器当成了有害的地址而屏蔽。但是,anti-spy的日志中却并没有记录此次的拦截,导致了问题变得难以察觉。
这次的漏洞属于设计上的漏洞,不涉及安全问题,但是暴露了anti-spy和新的拦截方式:Kaspersky Anti-Virus NDIS Filter之间的兼容性问题。
在关闭了anti-spy的同时,会导致Kaspersky Anti-Virus NDIS Filter的复位,从而出现短时间的断网并在1秒后恢复,这也是设计上需要修正的问题。
同时影响到的还有Kaspersky Anti-Virus NDIS Filter的流量问题,由于Kaspersky Anti-Virus NDIS Filter的实现原理的约束,如果Kaspersky Anti-Virus NDIS Filter的执行效率出现问题,可能导致所有的网络资源无法得到有效利用,成为效率瓶颈。
但是Kaspersky Anti-Virus NDIS Filter的效率是取决于位于ring3的kav模块来完成的,最突出的现象就是当cpu100%的时候持续3秒,就会出现断网,直到cpu<90%.
这种设计在提高了拦截的可靠性的同时,对于用户的gui程序的运行效率提出了很高的要求,至少现在还不适合中国大陆的现有计算机民情。
免责声明:
QUOTE:
此公告只是为了表示其漏洞的存在性质,alexblair不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。
alexblair不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使使用者事先已被告知有可能发生此类损害。
开发商有权对此漏洞进行进一步的审核和发布相关的预警/修补措施,但是,此措施不应由alexblair本人完成.
如果内容与开发商的官方公告有出入,开发商之后的预警公告将覆盖本公告的内容,但是,开发商未提到的内容依旧有效.
开发商在得到这个信息的同时,将挽回一定的损失(设计上的/经济上的),但是无需对alexblair支付费用.其他个人或实体也不得对开发商索取相关费用,开发商也应该主动拒绝相关的要求.
对于转载的内容,alexblair个人不能保障其完整性和正确性质,一切以本文的原文为依据.任何因为转载不全而导致的(直接的/间接的)理解偏差和相关损失,alexblair和卡饭论坛不承担任何责任。
alexblair不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使使用者事先已被告知有可能发生此类损害。
开发商有权对此漏洞进行进一步的审核和发布相关的预警/修补措施,但是,此措施不应由alexblair本人完成.
如果内容与开发商的官方公告有出入,开发商之后的预警公告将覆盖本公告的内容,但是,开发商未提到的内容依旧有效.
开发商在得到这个信息的同时,将挽回一定的损失(设计上的/经济上的),但是无需对alexblair支付费用.其他个人或实体也不得对开发商索取相关费用,开发商也应该主动拒绝相关的要求.
对于转载的内容,alexblair个人不能保障其完整性和正确性质,一切以本文的原文为依据.任何因为转载不全而导致的(直接的/间接的)理解偏差和相关损失,alexblair和卡饭论坛不承担任何责任。
此
