Обновление, которое вызывает BSOD
Пользователи Symantec Endpoint Protection (SEP), комплексного антивируса и файрвола, столкнулись с отказом в работе операционной системы Windows, пишет Bleepingcomputer.
В результате установки свежих определений (r61) от 14 октября 2019 г. для входящей в состав SEP системы предотвращения вторжений (Intrusion Prevention System, IPS) некоторые ПК начали показывать «синий экран смерти» (BSOD, Blue Screen of Death) с ошибкой BAD_POOL_CALLER (c2) или KERNEL_MODE_HEAP_CORRUPTION (13A).
Критические ошибки, по данным ресурса, вызывают драйверы IDSvix86.sys/IDSvia64.sys, являющиеся компонентом Endpoint Protection.
Реакция пользователей
По сообщению ряда пользователей и системных администраторов в Twitter, Reddit и на официальном форуме поддержки Symantec, продолжать работу на ПК после BSOD невозможно, при этом ошибка возникает не сразу же после установки обновлений, а в произвольный момент времени. Тем не менее, помогает загрузка в безопасном режиме и удаление «проблемных» определений.
Достоверно неизвестно, сколько всего компьютеров оказались выведенными из строя. К примеру, пользователь Reddit под никнеймом eaglebtc сообщает о 10 тыс. машин, пострадавших в результате сбоя, только в организации, где он работает. Другие источники сообщают о десятках «проблемных» ПК в различных компаниях.
Нельзя с уверенностью сказать, какие из версий Windows могут стать «жертвой» SEP и начать демонстрировать «синий экран смерти». Однако, по отзывам пользователей, среди них – как минимум, Windows 7, 8 и Windows 10. О случаях выхода из строя серверов на базе Windows Bleepingcomputer не известно.
Действия Symantec
Symantec признала наличие проблемы и 15 октября выпустила внеочередное (r62) обновление для Endpoint Protection, призванное ее исправить. На своем портале поддержки компания опубликовала статью, в которой рекомендуется установить исправление всем пользователям SEP, в том числе и тем, чьи системы пока еще не уходят в BSOD.
Сделать это можно с помощью автоматического средства обновления LiveUpdate или вручную, предварительно скачав новые определения IPS непосредственно с сайта Symantec. Владельцам SEP, ПК которых в результате ошибки перестали запускаться, вероятно, придется загрузить Windows в безопасном режиме.
Предыдущие сбои из-за «конфликтов» антивирусов и Windows
В августе 2019 г. системные администраторы столкнулись с тем, что SEP и антивирус Norton блокировали обновления Windows 7 и Server 2008 R2, потому что не поддерживали подпись SHA-2, которую начала использовать Microsoft. О переходе на новую подпись Symantec была предупреждена за полгода.
В апреле 2019 г. Microsoft выпустила новые патчи безопасности для всех ОС, начиная с Windows 7, «ломающие» популярное антивирусное ПО, в том числе Avast и McAfee. Если на ПК был установлен антивирус, то система начинала «тормозить» или вовсе переставала загружаться. Примерно в то же время «поломались» и антивирусные решения компании Sophos: Endpoint Security and Control и Central Endpoint.
В марте 2019 г. CNews сообщал о том, что антивирусные средства Microsoft — Windows Defender Antivirus, Microsoft Endpoint Protection и Microsoft Security Essentials — в течение некоторого времени вызывали проблемы у пользователей Windows 7, 8.1 и нескольких версий Windows Server (2003, 2008, 2012). Перечисленные программы «падали» с разными кодами ошибок. Возникновение проблем связывали с последними на тот момент обновлениями базы сигнатур вредоносного ПО — 1.289.1521.0 от 18 марта 2019 г.
В феврале 2017 г. компания Webroot настолько неудачно обновила свой антивирус для корпораций SecureAnywhere Business, что часть компьютеров в компаниях показали «синий экран смерти» после запуска продукта. Восстановить работу ПК можно было лишь отключив защиту непрямым способом. Webroot поспешила выпустить следующее обновление, чтобы ликвидировать последствия предыдущего.