A Cisco anunciou um novo lançamento importante de seu pacote antivírus gratuito, ClamAV 0.104.0. Recorde-se que o projeto passou para as mãos da Cisco em 2013, após a compra da Sourcefire, empresa que desenvolve o ClamAV e o Snort. O código do projeto é distribuído sob a licença GPLv2.
Paralelamente, a Cisco anunciou o início da formação de filiais ClamAV com suporte de longo prazo (LTS), cujo suporte será prestado por três anos a partir da data de publicação do primeiro lançamento na filial. A primeira ramificação LTS será o ClamAV 0.103, atualizações com vulnerabilidades e problemas críticos serão lançadas até 2023.
As atualizações para ramificações regulares não LTS serão publicadas por pelo menos mais 4 meses após o primeiro lançamento da próxima ramificação (por exemplo, as atualizações para a ramificação ClamAV 0.104.x serão publicadas por mais 4 meses após o lançamento do ClamAV 0.105.0. 4). A capacidade de baixar o banco de dados de assinaturas para filiais não LTS também será fornecida por pelo menos mais XNUMX meses após o lançamento da próxima filial.
Outra mudança significativa foi a formação de pacotes de instalação oficiais, permitindo atualizar sem reconstruir a partir dos textos fontes e sem esperar que os pacotes apareçam nas distribuições. Os pacotes são preparados para Linux (nos formatos RPM e DEB nas versões para arquiteturas x86_64 e i686), macOS (para x86_64 e ARM64, incluindo suporte ao chip Apple M1) e Windows (x64 e win32). Além disso, começou a publicação de imagens oficiais de contêineres no Docker Hub (as imagens são oferecidas com e sem banco de dados de assinaturas integrado). No futuro, planejei publicar pacotes RPM e DEB para a arquitetura ARM64 e publicar assemblies para FreeBSD (x86_64).
Principais melhorias no ClamAV 0.104:
- Transição para o uso do sistema de montagem CMake, cuja presença agora é necessária para construir o ClamAV. Os sistemas de compilação Autotools e Visual Studio foram descontinuados.
- Os componentes LLVM integrados à distribuição foram removidos em favor do uso de bibliotecas LLVM externas existentes. Em tempo de execução, para processar assinaturas com bytecode integrado, por padrão é usado um interpretador de bytecode, que não possui suporte JIT. Se você precisar usar LLVM em vez de um interpretador de bytecode ao construir, deverá especificar explicitamente os caminhos para as bibliotecas LLVM 3.6.2 (o suporte para versões mais recentes está planejado para ser adicionado posteriormente)
- Os processos clamd e freshclam agora estão disponíveis como serviços do Windows. Para instalar esses serviços, a opção “--install-service” é fornecida e para iniciar você pode usar o comando padrão “net start [nome]”.
- Foi adicionada uma nova opção de verificação que avisa sobre a transferência de arquivos gráficos danificados, através da qual podem ser feitas possíveis tentativas de explorar vulnerabilidades em bibliotecas gráficas. A validação de formato é implementada para arquivos JPEG, TIFF, PNG e GIF e é habilitada por meio da configuração AlertBrokenMedia em clamd.conf ou da opção de linha de comando "--alert-broken-media" em clamscan.
- Adicionados novos tipos CL_TYPE_TIFF e CL_TYPE_JPEG para consistência com a definição de arquivos GIF e PNG. Os tipos BMP e JPEG 2000 continuam a ser definidos como CL_TYPE_GRAPHICS porque a análise de formato não é suportada para eles.
- O ClamScan adicionou um indicador visual do progresso do carregamento da assinatura e da compilação do mecanismo, que é executado antes do início da verificação. O indicador não é exibido quando iniciado de fora do terminal ou quando uma das opções “--debug”, “-quiet”, “-infected”, “-no-summary” é especificada.
- Para exibir o progresso, libclamav adicionou chamadas de retorno cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() e engine free: cl_engine_set_clcb_engine_free_progress(), com as quais os aplicativos podem rastrear e estimar o tempo de execução dos estágios preliminares de carregamento e compilação de assinatura.
- Adicionado suporte à máscara de formatação de string “%f” à opção VirusEvent para substituir o caminho do arquivo no qual o vírus foi detectado (semelhante à máscara “%v” com o nome do vírus detectado). No VirusEvent, funcionalidade semelhante também está disponível através das variáveis de ambiente $CLAM_VIRUSEVENT_FILENAME e $CLAM_VIRUSEVENT_VIRUSNAME.
- Desempenho aprimorado do módulo de descompactação de script AutoIt.
- Adicionado suporte para extração de imagens de arquivos *.xls (Excel OLE2).
- É possível baixar hashes Authenticode baseados no algoritmo SHA256 na forma de arquivos *.cat (usados para verificar arquivos executáveis do Windows assinados digitalmente).
Fonte: opennet.ru