Microsoft выпустила EMET 5.2

    EMET обновился до версии 5.2 [1],[2],[3],[4]. В новой версии компанией был внесен ряд улучшений, в частности, библиотеки самого EMET скомпилированы с поддержкой новейшей функции компилятора Visual Studio 2015 под названием Control Flow Guard (CFG). Такая функция безопасности может относиться к механизмам самозащиты исполняемого легитимного кода от постороннего вмешательства (code hijacking).



    В функцию защиты под названием Attack Surface Reduction (ASR) добавлена поддержка библиотеки VBScript Scripting Engine (vbscript.dll), для которой было закрыто большое количество уязвимостей. Видимо, именно по этой причине он попал в список ASR. Библиотека используется браузером Internet Explorer и злоумышленники могут удаленно исполнить код в браузере, в случае присутствия в ней RCE-уязвимости.

    Другая внутренняя функция EMET 5.2 под названием «Enhanced Protected Mode/Modern IE» позволяет EMET получать информацию о работе режима Enhanced Protected Mode (EPM) веб-браузера Internet Explorer 11.

    Enhanced Protected Mode/Modern IE: EMET now fully supports alerting and reporting from Modern Internet Explorer, or Desktop IE with Enhanced Protected Mode mode enabled.

    Скачать EMET 5.2 можно по этой ссылке.
    ESET NOD32 111,77
    Компания
    Поделиться публикацией
    Похожие публикации
    Комментарии 15
    • 0
      Полезное обновление — посмотрю как поведёт себя на одной машине и дальше, скорее всего, обновлю на остальных.
      • 0
        Они собрали систему защиты используя pre-release software. Серьезно?
        • 0
          А разве они не просто бекпортировали одну из новых возможностей компилятора?
          Простите, что отвечаю вопросом на вопрос, просто по мне это было бы логичнее с точки зрения надёжности, да и просто разумнее.
          • 0
            А оно из-за этого перестаёт быть pre-release software, чтоль?
            • 0
              Да, см. бэкпорт. Кроме того так очень многие делают и это «правильный метод».
              • 0
                Всё ещё не вижу, как это делает фичу стабильной. И уж точно никто так не делает, и это совсем не правильный метод.
                • +1
                  Компилятор лишь добавляет поддержку фичи, доступную в API ОС:
                  What Versions of Windows Do I Need?

                  CFG operation depends upon it running on a “CFG-Aware” version of the Windows Operating System. At the current time, CFG is present in the x86 and x64 versions, for Desktop and Server, of the following releases:

                  Windows 10 Technical Preview
                  Windows 8.1 Update

                  В статье esetnod32 об этом зря не упомянули ибо новая функциональность будет доступна, по крайней мере пока, только на Windows 8.1 и новее.

                  Ну а по поводу нормальной практики и правильного метода: EMET ведь является помимо инструмента дополнительной защиты ещё и инструментом, позволяющим предварительно и в «мягком» режиме протестировать функции безопасности, которые будут встроены и, возможно, даже неотключаемы в следующих версиях Windows. Т.е. из утилиты с расширенными механизмами безопасности эта функциональность перейдёт в штатные механизмы защиты системы.
                  • 0
                    Окей, окей! Так как это фича компилятора становится стабильной?

                    Потом вы говорите: «протестировать функции безопасности, которые будут… в следующих версиях Windows». Так как это внезапно становится стабильным?

                    При всей моей любви к МС, я считаю встраивать в публичный релиз софта о безопасности функции в стадии тестировании в корне не верным решением. У них достаточно факапов с недостаточно оттестированными релизами. Параллельно идет тестирование 10 TP и VS 2015, почему их нельзя использовать.
                    • +1
                      Так как это фича компилятора становится стабильной?

                      Значит становится раз в релиз EMET включили. Тесты ведь для неё должны были быть проведены, стало быть ошибок в ходе тестирования не нашли.

                      Потом вы говорите: «протестировать функции безопасности, которые будут… в следующих версиях Windows». Так как это внезапно становится стабильным?

                      Специфика EMET в том, что это расширенный механизм безопасности. Т.е. если перефразировать то можно ответить и на вопрос:
                      Параллельно идет тестирование 10 TP и VS 2015, почему их нельзя использовать.

                      Потому что в EMET будут протестированы только новые механизмы безопасности и, в первую очередь, это полезно специалистам по безопасности и разработчикам ПО.

                      Для примера: есть у меня приложение и я хочу узнать не подвержено ли оно проблемам совместимости с новыми механизмами безопасности. Стало быть для этой цели я легко могу установить EMET на любую нужную мне версию ОС и протестировать все возможные защиты на ней. В случае же с Win 10 и VS 2015 так же придётся тестировать ОС или компилятор, а это на порядок больший объём работы, да и специфика другая.

                      Был бы этот механизм уже стабильным до уровня релиза ОС, т.е. гарантированно не вызывал бы проблем с ПО, то шёл бы в составе ОС, возможно даже неотключаемо, и явно не имел бы при этом тьмы галочек и параметров для ручной настройки каждого приложения.
                      • 0
                        Значит становится раз в релиз EMET включили.
                        Дальше спорить смысла нет.
        • 0
          Подскажите пожалуйста, а существует ли у EMET механизм автоматического обновления правил при обновлении версии. Т.е. на примере этого обновления будут ли автоматически обновлены правила для Internet Explorer или необходимо менять их вручную?
          • 0
            P.S. да и вообще интересно есть ли какой нибудь механизм экспорта/импорта опций для распространения оных.
            • 0
              Отвечаю сам себе на вопрос: механизма адекватного обновления правил нет.
              Есть три возможности:
              1) создаём новые правила с включёнными новыми защитами для известного софта и теряем при этом все настройки, которые создали сами.
              2) оставляем старые настройки и вручную переносим новые опции безопасности для каждой софтины.
              3) оставляем старые, потом вручную удаляем из них софт по умолчанию и заново добавляем его через импорт-экспорт.

              Жаль, что 3й вариант не предлагается сделать автоматически при обновлении, тогда можно было бы спокойно обновлять.

              P.S. Вот похоже и закончилось моё общение с EMET, так и не добравшись до внедрения на все машины, всё осталось на уровне эксперимента.
              • 0
                Дополню, к сожалению я забыл это сделать сразу!

                Пользователь Truandale, который, к сожалению, находится в RO дал очень дельный совет через администрацию:

                Здравствуйте. Хотел помочь человеку. Здесь (ссылка на эту статью) он спрашивает как можно переносить настройки emet при обновлении оного. Я хотел ответить, что настройки можно экспортировать и импортировать через реестр (экспорт/импорт ветки реестра
                HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET
                )


                P.S. Мне очень жалко, что люди, дающие такие полезные советы по столь полезным утилитам находятся в RO. НЛО ( deniskin ), пожалуйста, сделай подарок этому доброму человеку и разбань его ибо он из тех кусочков сообщества, что явно принесёт пользу и не раз.

              • 0
                word и excel 2013 на Win 8.1 Update rus pro 64bit
                (office h & b 64) c SP1
                Падает.
                Отключение EAF (EAF+ по умолчанию отключен) исправляет ситуацию!
                теги для поисковиков:
                не запускается office
                не запускается word

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое