Cisco ha anunciat una nova versió important de la seva suite antivirus gratuïta, ClamAV 0.104.0. Recordem que el projecte va passar a mans de Cisco l'any 2013 després de la compra de Sourcefire, l'empresa desenvolupadora de ClamAV i Snort. El codi del projecte es distribueix sota la llicència GPLv2.
Paral·lelament, Cisco va anunciar l'inici de la formació de les sucursals de ClamAV amb un suport a llarg termini (LTS), suport per a les quals es proporcionarà durant tres anys a partir de la data de publicació del primer llançament a la branca. La primera branca LTS serà ClamAV 0.103, les actualitzacions amb vulnerabilitats i problemes crítics es publicaran fins al 2023.
Les actualitzacions de les branques habituals que no siguin LTS es publicaran almenys durant 4 mesos més després del primer llançament de la branca següent (per exemple, les actualitzacions de la branca ClamAV 0.104.x es publicaran durant 4 mesos més després del llançament de ClamAV 0.105.0. 4). La possibilitat de descarregar la base de dades de signatures per a les sucursals que no siguin LTS també es proporcionarà durant almenys XNUMX mesos més després del llançament de la següent sucursal.
Un altre canvi significatiu va ser la formació de paquets d'instal·lació oficials, que us permeten actualitzar sense reconstruir els textos d'origen i sense esperar que els paquets apareguin a les distribucions. Els paquets estan preparats per a Linux (en formats RPM i DEB en versions per a arquitectures x86_64 i i686), macOS (per a x86_64 i ARM64, inclòs suport per al xip Apple M1) i Windows (x64 i win32). A més, ha començat la publicació d'imatges oficials de contenidors a Docker Hub (les imatges s'ofereixen amb i sense una base de dades de signatures integrada). En el futur, tenia previst publicar paquets RPM i DEB per a l'arquitectura ARM64 i publicar muntatges per a FreeBSD (x86_64).
Millores clau a ClamAV 0.104:
- Transició a l'ús del sistema de muntatge CMake, la presència del qual ara és necessària per construir ClamAV. Autotools i els sistemes de compilació de Visual Studio s'han interromput.
- Els components LLVM integrats a la distribució s'han eliminat a favor de l'ús de biblioteques LLVM externes existents. En temps d'execució, per processar signatures amb bytecode integrat, per defecte s'utilitza un intèrpret de bytecode, que no té suport JIT. Si heu d'utilitzar LLVM en comptes d'un intèrpret de codi de bytes durant la creació, heu d'especificar explícitament els camins a les biblioteques LLVM 3.6.2 (es preveu afegir suport per a versions més recents més endavant)
- Els processos clamd i freshclam ara estan disponibles com a serveis de Windows. Per instal·lar aquests serveis, es proporciona l'opció "--install-service" i per començar podeu utilitzar l'ordre estàndard "net start [nom]".
- S'ha afegit una nova opció d'escaneig que avisa sobre la transferència de fitxers gràfics danyats, mitjançant la qual es poden fer possibles intents d'explotar les vulnerabilitats de les biblioteques gràfiques. La validació de format s'implementa per als fitxers JPEG, TIFF, PNG i GIF, i s'habilita mitjançant la configuració AlertBrokenMedia a clamd.conf o l'opció de línia d'ordres "--alert-broken-media" a clamscan.
- S'han afegit nous tipus CL_TYPE_TIFF i CL_TYPE_JPEG per a la coherència amb la definició de fitxers GIF i PNG. Els tipus BMP i JPEG 2000 es continuen definint com a CL_TYPE_GRAPHICS perquè l'anàlisi de formats no és compatible amb ells.
- ClamScan ha afegit un indicador visual del progrés de la càrrega de signatures i la compilació del motor, que es realitza abans que comenci l'escaneig. L'indicador no es mostra quan es llança des de fora del terminal o quan s'especifica una de les opcions "--debug", "-quiet", "-infected", "-no-summary".
- Per mostrar el progrés, libclamav ha afegit trucades de retorn de trucada cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() i engine free: cl_engine_set_clcb_engine_free_progress(), amb les quals les aplicacions poden fer un seguiment i estimar el temps d'execució de les etapes preliminars de càrrega i compilació de signatura.
- S'ha afegit suport per a la màscara de format de cadena "%f" a l'opció VirusEvent per substituir la ruta del fitxer en què es va detectar el virus (similar a la màscara "%v" amb el nom del virus detectat). A VirusEvent, una funcionalitat similar també està disponible a través de les variables d'entorn $CLAM_VIRUSEVENT_FILENAME i $CLAM_VIRUSEVENT_VIRUSNAME.
- Rendiment millorat del mòdul de desempaquetat d'scripts d'AutoIt.
- S'ha afegit suport per extreure imatges de fitxers *.xls (Excel OLE2).
- És possible descarregar hash Authenticode basat en l'algorisme SHA256 en forma de fitxers *.cat (utilitzats per verificar fitxers executables de Windows signats digitalment).
Font: opennet.ru