Компания
212,00
рейтинг
13 марта 2015 в 11:32

Разное → Microsoft выпустила EMET 5.2

EMET обновился до версии 5.2 [1],[2],[3],[4]. В новой версии компанией был внесен ряд улучшений, в частности, библиотеки самого EMET скомпилированы с поддержкой новейшей функции компилятора Visual Studio 2015 под названием Control Flow Guard (CFG). Такая функция безопасности может относиться к механизмам самозащиты исполняемого легитимного кода от постороннего вмешательства (code hijacking).



В функцию защиты под названием Attack Surface Reduction (ASR) добавлена поддержка библиотеки VBScript Scripting Engine (vbscript.dll), для которой было закрыто большое количество уязвимостей. Видимо, именно по этой причине он попал в список ASR. Библиотека используется браузером Internet Explorer и злоумышленники могут удаленно исполнить код в браузере, в случае присутствия в ней RCE-уязвимости.

Другая внутренняя функция EMET 5.2 под названием «Enhanced Protected Mode/Modern IE» позволяет EMET получать информацию о работе режима Enhanced Protected Mode (EPM) веб-браузера Internet Explorer 11.

Enhanced Protected Mode/Modern IE: EMET now fully supports alerting and reporting from Modern Internet Explorer, or Desktop IE with Enhanced Protected Mode mode enabled.

Скачать EMET 5.2 можно по этой ссылке.
Автор: @esetnod32
ESET NOD32
рейтинг 212,00

Комментарии (15)

  • 0
    Полезное обновление — посмотрю как поведёт себя на одной машине и дальше, скорее всего, обновлю на остальных.
  • 0
    Они собрали систему защиты используя pre-release software. Серьезно?
    • 0
      А разве они не просто бекпортировали одну из новых возможностей компилятора?
      Простите, что отвечаю вопросом на вопрос, просто по мне это было бы логичнее с точки зрения надёжности, да и просто разумнее.
      • 0
        А оно из-за этого перестаёт быть pre-release software, чтоль?
        • 0
          Да, см. бэкпорт. Кроме того так очень многие делают и это «правильный метод».
          • 0
            Всё ещё не вижу, как это делает фичу стабильной. И уж точно никто так не делает, и это совсем не правильный метод.
            • +1
              Компилятор лишь добавляет поддержку фичи, доступную в API ОС:
              What Versions of Windows Do I Need?

              CFG operation depends upon it running on a “CFG-Aware” version of the Windows Operating System. At the current time, CFG is present in the x86 and x64 versions, for Desktop and Server, of the following releases:

              Windows 10 Technical Preview
              Windows 8.1 Update

              В статье esetnod32 об этом зря не упомянули ибо новая функциональность будет доступна, по крайней мере пока, только на Windows 8.1 и новее.

              Ну а по поводу нормальной практики и правильного метода: EMET ведь является помимо инструмента дополнительной защиты ещё и инструментом, позволяющим предварительно и в «мягком» режиме протестировать функции безопасности, которые будут встроены и, возможно, даже неотключаемы в следующих версиях Windows. Т.е. из утилиты с расширенными механизмами безопасности эта функциональность перейдёт в штатные механизмы защиты системы.
              • 0
                Окей, окей! Так как это фича компилятора становится стабильной?

                Потом вы говорите: «протестировать функции безопасности, которые будут… в следующих версиях Windows». Так как это внезапно становится стабильным?

                При всей моей любви к МС, я считаю встраивать в публичный релиз софта о безопасности функции в стадии тестировании в корне не верным решением. У них достаточно факапов с недостаточно оттестированными релизами. Параллельно идет тестирование 10 TP и VS 2015, почему их нельзя использовать.
                • +1
                  Так как это фича компилятора становится стабильной?

                  Значит становится раз в релиз EMET включили. Тесты ведь для неё должны были быть проведены, стало быть ошибок в ходе тестирования не нашли.

                  Потом вы говорите: «протестировать функции безопасности, которые будут… в следующих версиях Windows». Так как это внезапно становится стабильным?

                  Специфика EMET в том, что это расширенный механизм безопасности. Т.е. если перефразировать то можно ответить и на вопрос:
                  Параллельно идет тестирование 10 TP и VS 2015, почему их нельзя использовать.

                  Потому что в EMET будут протестированы только новые механизмы безопасности и, в первую очередь, это полезно специалистам по безопасности и разработчикам ПО.

                  Для примера: есть у меня приложение и я хочу узнать не подвержено ли оно проблемам совместимости с новыми механизмами безопасности. Стало быть для этой цели я легко могу установить EMET на любую нужную мне версию ОС и протестировать все возможные защиты на ней. В случае же с Win 10 и VS 2015 так же придётся тестировать ОС или компилятор, а это на порядок больший объём работы, да и специфика другая.

                  Был бы этот механизм уже стабильным до уровня релиза ОС, т.е. гарантированно не вызывал бы проблем с ПО, то шёл бы в составе ОС, возможно даже неотключаемо, и явно не имел бы при этом тьмы галочек и параметров для ручной настройки каждого приложения.
                  • 0
                    Значит становится раз в релиз EMET включили.
                    Дальше спорить смысла нет.
  • 0
    Подскажите пожалуйста, а существует ли у EMET механизм автоматического обновления правил при обновлении версии. Т.е. на примере этого обновления будут ли автоматически обновлены правила для Internet Explorer или необходимо менять их вручную?
    • 0
      P.S. да и вообще интересно есть ли какой нибудь механизм экспорта/импорта опций для распространения оных.
    • 0
      Отвечаю сам себе на вопрос: механизма адекватного обновления правил нет.
      Есть три возможности:
      1) создаём новые правила с включёнными новыми защитами для известного софта и теряем при этом все настройки, которые создали сами.
      2) оставляем старые настройки и вручную переносим новые опции безопасности для каждой софтины.
      3) оставляем старые, потом вручную удаляем из них софт по умолчанию и заново добавляем его через импорт-экспорт.

      Жаль, что 3й вариант не предлагается сделать автоматически при обновлении, тогда можно было бы спокойно обновлять.

      P.S. Вот похоже и закончилось моё общение с EMET, так и не добравшись до внедрения на все машины, всё осталось на уровне эксперимента.
    • 0
      Дополню, к сожалению я забыл это сделать сразу!

      Пользователь Truandale, который, к сожалению, находится в RO дал очень дельный совет через администрацию:

      Здравствуйте. Хотел помочь человеку. Здесь (ссылка на эту статью) он спрашивает как можно переносить настройки emet при обновлении оного. Я хотел ответить, что настройки можно экспортировать и импортировать через реестр (экспорт/импорт ветки реестра
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET
      )


      P.S. Мне очень жалко, что люди, дающие такие полезные советы по столь полезным утилитам находятся в RO. НЛО ( deniskin ), пожалуйста, сделай подарок этому доброму человеку и разбань его ибо он из тех кусочков сообщества, что явно принесёт пользу и не раз.

  • 0
    word и excel 2013 на Win 8.1 Update rus pro 64bit
    (office h & b 64) c SP1
    Падает.
    Отключение EAF (EAF+ по умолчанию отключен) исправляет ситуацию!
    теги для поисковиков:
    не запускается office
    не запускается word

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное