A Cisco lançou uma nova versão importante de seu pacote antivírus gratuito, ClamAV 0.105.0, e também publicou versões corretivas do ClamAV 0.104.3 e 0.103.6 que corrigem vulnerabilidades e bugs. Recorde-se que o projeto passou para as mãos da Cisco em 2013, após a compra da Sourcefire, empresa que desenvolve o ClamAV e o Snort. O código do projeto é distribuído sob a licença GPLv2.
Principais melhorias no ClamAV 0.105:
- Um compilador para a linguagem Rust está incluído nas dependências de construção necessárias. A compilação requer pelo menos Rust 1.56. As bibliotecas de dependência necessárias no Rust estão incluídas no pacote principal do ClamAV.
- O código para atualização incremental do arquivo do banco de dados (CDIFF) foi reescrito em Rust. A nova implementação permitiu agilizar significativamente a aplicação de atualizações que removem um grande número de assinaturas do banco de dados. Este é o primeiro módulo reescrito em Rust.
- Os valores limite padrão foram aumentados:
- Tamanho máximo de digitalização: 100M > 400M
- Tamanho máximo do arquivo: 25M > 100M
- Comprimento máximo do fluxo: 25M > 100M
- PCREMaxTamanho do arquivo: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormalizar: 10M > 40M
- MaxScriptNormalizar: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- O tamanho máximo da linha nos arquivos de configuração freshclam.conf e clamd.conf foi aumentado de 512 para 1024 caracteres (ao especificar tokens de acesso, o parâmetro DatabaseMirror pode exceder 512 bytes).
- Para identificar imagens utilizadas para distribuição de phishing ou malware, foi implementado suporte para um novo tipo de assinaturas lógicas que utilizam o método fuzzy hashing, que permite identificar objetos semelhantes com um certo grau de probabilidade. Para gerar um hash difuso para uma imagem, você pode usar o comando “sigtool —fuzzy-img”.
- ClamScan e ClamDScan possuem recursos integrados de digitalização de memória de processo. Este recurso foi transferido do pacote ClamWin e é específico para a plataforma Windows. Adicionadas opções "--memory", "--kill" e "--unload" ao ClamScan e ClamDScan na plataforma Windows.
- Componentes de tempo de execução atualizados para execução de bytecode baseado em LLVM. Para aumentar o desempenho da verificação em comparação com o interpretador de bytecode padrão, foi proposto um modo de compilação JIT. O suporte para versões mais antigas do LLVM foi descontinuado; as versões 8 a 12 do LLVM agora podem ser usadas para trabalho.
- Uma configuração GenerateMetadataJson foi adicionada ao Clamd, que é equivalente à opção “--gen-json” no clamscan e faz com que metadados sobre o progresso da verificação sejam gravados no arquivo metadata.json no formato JSON.
- É possível construir utilizando a biblioteca externa TomsFastMath (libtfm), habilitada através das opções “-D ENABLE_EXTERNAL_TOMSFASTMATH=ON”, “-D TomsFastMath_INCLUDE_DIR= " e "-D TomsFastMath_LIBRARY= " A cópia incluída da biblioteca TomsFastMath foi atualizada para a versão 0.13.1.
- O utilitário Freshclam melhorou o comportamento ao lidar com o tempo limite ReceiveTimeout, que agora apenas encerra downloads congelados e não interrompe downloads lentos ativos com dados transferidos por canais de comunicação ruins.
- Adicionado suporte para construção do ClamdTop usando a biblioteca ncursesw se ncurses estiver faltando.
- Vulnerabilidades corrigidas:
- CVE-2022-20803 é uma liberação dupla no analisador de arquivo OLE2.
- CVE-2022-20770 Um loop infinito no analisador de arquivo CHM.
- CVE-2022-20796 – Falha devido a uma desreferência de ponteiro NULL no código de verificação de cache.
- CVE-2022-20771 – Loop infinito no analisador de arquivo TIFF.
- CVE-2022-20785 – Vazamento de memória no analisador HTML e no normalizador Javascript.
- CVE-2022-20792 – Estouro de buffer no módulo de carregamento do banco de dados de assinaturas.
Fonte: opennet.ru