Cisco ha annunciato una nuova importante versione della sua suite antivirus gratuita, ClamAV 0.104.0. Ricordiamo che il progetto è passato nelle mani di Cisco nel 2013 dopo l'acquisto di Sourcefire, la società che sviluppa ClamAV e Snort. Il codice del progetto è distribuito sotto la licenza GPLv2.
Allo stesso tempo, Cisco ha annunciato l'inizio della formazione dei rami ClamAV Long Term Support (LTS), che saranno supportati per tre anni dalla data di pubblicazione della prima versione nel ramo. Il primo ramo LTS sarà ClamAV 0.103, aggiornamenti con vulnerabilità e criticità verranno rilasciati fino al 2023.
Gli aggiornamenti per i rami regolari non LTS verranno pubblicati per almeno altri 4 mesi dopo il primo rilascio del ramo successivo (ad esempio, gli aggiornamenti per il ramo ClamAV 0.104.x verranno pubblicati per altri 4 mesi dopo il rilascio di ClamAV 0.105.0. 4). Sarà prevista la possibilità di scaricare il database delle firme anche per le filiali non LTS per almeno altri XNUMX mesi dopo il rilascio della filiale successiva.
Un altro cambiamento significativo è stata la formazione di pacchetti di installazione ufficiali, che consentono di aggiornare senza ricompilare dai testi sorgente e senza attendere che i pacchetti appaiano nelle distribuzioni. I pacchetti sono predisposti per Linux (nei formati RPM e DEB nelle versioni per architetture x86_64 e i686), macOS (per x86_64 e ARM64, compreso il supporto al chip Apple M1) e Windows (x64 e win32). Inoltre, è iniziata la pubblicazione delle immagini ufficiali dei contenitori su Docker Hub (le immagini sono offerte sia con che senza database di firme integrato). In futuro, avevo in programma di pubblicare pacchetti RPM e DEB per l'architettura ARM64 e pubblicare assembly per FreeBSD (x86_64).
Principali miglioramenti in ClamAV 0.104:
- Transizione all'utilizzo del sistema di assemblaggio CMake, la cui presenza è ora richiesta per costruire ClamAV. I sistemi di compilazione Autotools e Visual Studio sono stati interrotti.
- I componenti LLVM integrati nella distribuzione sono stati rimossi a favore dell'utilizzo delle librerie LLVM esterne esistenti. In runtime, per elaborare le firme con bytecode integrato, per impostazione predefinita viene utilizzato un interprete di bytecode, che non dispone del supporto JIT. Se è necessario utilizzare LLVM invece di un interprete bytecode durante la creazione, è necessario specificare esplicitamente i percorsi delle librerie LLVM 3.6.2 (il supporto per le versioni più recenti sarà aggiunto in seguito)
- I processi clamd e freshclam sono ora disponibili come servizi Windows. Per installare questi servizi viene fornita l'opzione “--install-service” e per avviarli è possibile utilizzare il comando standard “net start [nome]”.
- È stata aggiunta una nuova opzione di scansione che avvisa del trasferimento di file grafici danneggiati, attraverso i quali è possibile effettuare potenziali tentativi di sfruttare le vulnerabilità nelle librerie grafiche. La convalida del formato è implementata per i file JPEG, TIFF, PNG e GIF ed è abilitata tramite l'impostazione AlertBrokenMedia in clamd.conf o l'opzione della riga di comando "--alert-broken-media" in clamscan.
- Aggiunti nuovi tipi CL_TYPE_TIFF e CL_TYPE_JPEG per coerenza con la definizione di file GIF e PNG. I tipi BMP e JPEG 2000 continuano a essere definiti come CL_TYPE_GRAPHICS perché l'analisi del formato non è supportata per essi.
- ClamScan ha aggiunto un indicatore visivo dell'avanzamento del caricamento della firma e della compilazione del motore, che viene eseguito prima dell'inizio della scansione. L'indicatore non viene visualizzato quando avviato dall'esterno del terminale o quando viene specificata una delle opzioni “--debug”, “-quiet”, “-infected”, “-no-summary”.
- Per visualizzare l'avanzamento, libclamav ha aggiunto le chiamate di callback cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() e engine free: cl_engine_set_clcb_engine_free_progress(), con le quali le applicazioni possono tracciare e stimare il tempo di esecuzione delle fasi preliminari di caricamento e compilazione della firma.
- Aggiunto il supporto per la maschera di formattazione della stringa “%f” all'opzione VirusEvent per sostituire il percorso del file in cui è stato rilevato il virus (simile alla maschera “%v” con il nome del virus rilevato). In VirusEvent, funzionalità simili sono disponibili anche tramite le variabili di ambiente $CLAM_VIRUSEVENT_FILENAME e $CLAM_VIRUSEVENT_VIRUSNAME.
- Prestazioni migliorate del modulo di decompressione degli script AutoIt.
- Aggiunto supporto per l'estrazione di immagini da file *.xls (Excel OLE2).
- È possibile scaricare gli hash Authenticode basati sull'algoritmo SHA256 sotto forma di file *.cat (utilizzati per verificare i file eseguibili di Windows firmati digitalmente).
Fonte: opennet.ru