Oct 192011
McAfee ha vuelto a publicar el parche 5 para VirusScan Enterprise 8.7i que incluye las siguientes mejoras:
- Se ha reducido el tamaño del paquete del parche gracias a la eliminación de los archivos NAP para ePolicy Orchestrator 3.6.x, ya que dicho producto ha dejado de soportarse por McAfee.
- La extensión de informes de ePolicy Orchestrator ha sido actualizada para reflejar de forma más apropiada los resultados esperados de las consultas por defecto actuales.
- Mejora en el rendimiento de entrada/salida (E/S) a disco.
- Este parche mejora la auto-protección para evitar accesos no autorizados a procesos críticos de VirusScan.
- Este parche incluye una nueva regla de Protección de Acceso que refuerza a VirusScan Enterprise 8.7i frente a malware que tenga capacidades de inyección de procesos.
NOTA: La regla Protección Común Estándar: Prevent hooking of McAfee processes se habilita por defecto. Las aplicaciones legítimas son conocidas por realizar procesos de inyección y esta regla de Protección de Acceso puede tener resultados indeterminados con dichas aplicaciones legítimas. Estas aplicaciones deberían ser capaces de recuperarse al fallar en el proceso de inyección de procesos, no obstante se recomienda fervientemente realizar pruebas con esta actualización en entornos de test y grupo piloto antes de realizar un despliegue masivo. - Se ha actualizado la extensión de ePolicy Orchestrator para añadir la gestión de la nueva regla de protección de acceso, Protección Común Estándar: Prevent hooking of McAfee processes.
IMPORTANTE: McAfee ha calificado este parche como Parche de Alta Prioridad y recomienda su implementación en todos los entornos.
Entre otras cosas se solucionan los puntos siguientes:
- Problema: Software malicioso puede utilizar una técnica para obtener un identificador con permisos de escritura en procesos de McAfee para poder deshabilitarlos.
Solución: La auto-protección evita ahora que los procesos que no sean de McAfee puedan obtener identificadores con permisos de escritura sobre nuestros procesos. - Problema: Software malicioso puede cambiar los permisos NTFS de las carpetas de McAfee para deshabilitar el software.
Solución: La auto-protección protege ahora las carpetas, archivos y datos del registro de McAfee para evitar cambios en los permisos. - Problema: Se puede producir una comprobación de errores 1E, 7E, 8E, o D1 al cerrar múltiples programas o al cerrar una sesión.
Solución: Se ha solventado un defecto de timing que podía provocar que el driver retrasase la limpieza de datos de proceso que ya se encontraban en proceso de limpieza. - Problema: Cuando falla la actualización de una extensión en ePolicy Orchestrator el sistema intenta hacer un downgrade a la versión anterior de dicha extensión. El downgrade de la extensión de VirusScan falla debido a un intento de revertir a una extensión incorrecta.
Solución: El downgrade de la extensión de VirusScan se realiza ahora correctamente y restaura la versión anterior existente en el repositorio. - Problema: En la página de análisis bajo demanda de ePolicy Orchestrator, si la ruta de la unidad o carpeta seleccionada acaba con una contra barra (‘\’), se añade una contra barra adicional (‘\’) al final de la ruta (ejemplo: ‘\\’).
Solución: Se ha actualizado la extensión de VirusScan Enterprise para evitar que se añada automáticamente una contra barra (‘\’) al final de la ruta en caso de existir una.. - Problema: Windows Vista realiza un cambio en la estructura de datos de un proceso interno PEB (Process Environment Block) que almacena el nombre del ejecutable primario de un proceso provocando que la longitud disponible para el nombre del proceso sea un carácter más corto. Esto provoca que las reglas de protección de acceso con nombres de proceso de más de 16 caracteres no se gestionan correctamente en Windows 7 y posteriores.
Solución: Las reglas de protección de acceso ahora gestionan correctamente nombres de procesos de más de 16 caracteres. - Problema: McAfee ha identificado un antiguo bug en el código del archivo de Microsoft win32k.sys relacionado con la destrucción de fuentes que causaba un bloqueo de entornos con terminal server al utilizar packs de idioma con caracteres multibyte. El driver mfehidk.sys de McAfee ponía a descubierto este bug causando una condición de descontrol en el driver win32k.sys de Microsoft.
Solución: McAfee ha solventado esta condición forzando una limpieza de todos los procesos gestionados antes de que la sesión de terminal server finalice. - Problema: En Windows 7, con Microsoft User Account Control (UAC) activado, al hacer clic con el botón derecho y seleccionar la opción “Analizar en busca de amenazas”, la función de análisis bajo demanda no tiene permisos suficientes par analizar archivos en unidades mapeadas.
Solución: Al hacer clic con el botón derecho y seleccionar la opción “Analizar en busca de amenazas” utiliza ahora las credenciales del usuario conectado para analizar archivos en unidades mapeadas.
NOTAS:
- Dentro del archivo ZIP que contiene el parche 5 de VirusScan Enterprise 8.7i se encuentra una nueva versión de la extensión de producto VIRUSCAN8700(216).zip y también de informes de VirusScan 8.7i VIRUSCANREPORTS(154).zip para los servidores ePolicy Orchestrator 4.0 y 4.5
- Este parche actualiza los archivos de sistema del núcleo de VirusScan Enterprise 8.7i a una versión más actual que la publicada en VirusScan Enterprise 8.8. Los usuarios que quieran migrar de este parche de VirusScan 8,7i a VirusScan Enterprise 8.8 deberán hacerlo mediante el instalador de VirusScan Enterprise 8.8 con Parche 1 incorporado (Pendiente de publicar).
- Los usuarios que ya tuvieran instalada la versión anteriormente publicada del parche 5 de VirusScan Enterprise 8.7i deberán instalar el Hotfix HF643440.
Pulse aquí para descargar el Parche 5 para VirusScan 8.7i
Pulse aquí para descargar el HotFIX HF643440
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 19 de Octubre de 2011