McAfee Antivirus Update orsakar problem för hem- och företagskunder

En buggy uppdatering släpptes fredag ​​av säkerhetsleverantören McAfee för sina antivirusprodukter och antivirusprodukter, lämnade sina kunder oskyddade datorer och i vissa fall inte kan komma åt Internet.

Händelsen påverkade både hemma och företagsanvändare, av vilka några fortfarande försökte sortera ut problemen som orsakades av uppdateringarna måndag och tisdag, enligt meddelanden som publicerades på McAfees communityforum och Facebook-sida.

Problemen introducerades av McAfee uppdaterar DAT 6807, som släpptes på fredagen och efterföljande DAT 6808, beroende på vilken produkt som användes.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Efter att ha installerat uppdateringarna började vissa hemanvändare stöta på fel när de öppnade McAfee Security Center-konsolen, vilket hindrade dem från att utföra någon åtgärd inom programmet. Andra användare upplevde en förlust av Internet-anslutning på sina datorer.

McAfee bekräftade dessa problem på söndagen i ett tekniskt dokument som beskriver två möjliga lösningar, som både kräver att användare uppdaterar till en nyutgiven DAT 6809-fil.

En lösning, avsedd för användare som förlorade Internet-anslutning på sina datorer, involverade avinstallation av produkten, omstart av datorn, hämtning av en uppdaterad version av produkten från McAfees webbplats och installation av den.

Den andra lösningen beskrev automatiska och manuella metoder för att uppdatera befintliga installationer till DAT 6809. Användare som fortsatte att stöta på fel efter uppdatering till denna DAT-version rekommenderades att avinstallera produkten med hjälp av ett specialverktyg som heter McAfee Consumer Product Removal (MCPR) och sedan installera den uppdaterade versionen av produkten.

Användare av McAfee VirusScan Enterprise (VSE) 8.8.x, företagets flaggskeppsföretags antivirusprodukt, måste vänta till måndag för en så kallad superDAT-snabbkorrigering som skulle inte kräva att de installerar om produkten på tusentals eller hundratals av drabbade datorer.

För VSE orsakade de dåliga uppdateringarna problem med OAS (Access Access Scanner), en kritisk komponent som kontrollerar alla filer som systemet har tillgång till tecken på malware, sade företaget i ett supportdokument som publicerades på måndag.

Vissa administratörer med ansvar för antivirusutplacering i företagsmiljöer uttryckte oro över att OAS kan vara smittad medan skadlig programvara kan sprida sig till andra datorer nätverket.

"Jag har 46 av 152 datorer, med denna fråga", en användare som identifierade sig som bostjanc på McAfee community forum för företagsprodukter. "Jag har för närvarande över 3000 ändpunkter med det här problemet - lösningen, vänligen McAfee," sa en annan användare som heter Derosa. "

" "Problemet är väl över 24 timmar gammalt nu och det har blivit officiellt bekräftat för nästan 24. Det är en mycket lång tid att ha AV [antivirus] i ett felaktigt tillstånd "skrev en användare som heter mjmurra timmar innan McAfee släppte VSE 8.8 Hotfix 793640 för att åtgärda problemet. "I åtminstone en sparsam nåde är att många kunder har stängt av sin maskin under helgen," sa han i ett senare inlägg.

VSE 8.8 Hotfix 793640 är obligatorisk och innehåller hela DAT 6809-paketet, säger McAfee.

På grund av detta är filen ungefär 100 MB stor och användningen av den till tusentals maskiner utgjorde en utmaning för vissa administratörer.

"McAfee arbetar med en mindre lösning som kommer att lösa problemet utan att behöva inkludera hela DAT-paketet, "sa företaget. "Det finns ingen aktuell ETA för den här utgåvan."

Under tiden rekommenderade McAfee att snabbkorrigeringen utplaceras i steg på nätverk med offsite-grenar, där det kan orsaka bandbreddsproblem. "T.ex. schemalägg uppdateringsuppgiften att köra för en grupp i taget," sa företaget.

Ett annat problem som administratörer mötte var att bestämma vilket av systemen som var under deras vård påverkades. De som har buggy DAT-filerna ska rapportera en DAT- och antivirusmotorversion av 0.0000 till ePO-serverens ePolicy Orchestrator (ePO) -server.

Men efter att snabbkorrigeringen har implementerats kan vissa datorer fortsätta att rapportera denna falska information på grund av caching tills de är tvungna att tillhandahålla fullständig fastighetsdata till ePO-servern, sade McAfee.

Även om snabbkorrigeringen inte tvingar om en omstart rekommenderade företaget att administratörer omstartar alla klientsystem så snart som möjligt för att kunna validera att åtgärden har installerats framgångsrikt.

Vissa användare vars drabbade system innehåller servrar var inte nöjda med det här. "Detta har övervägande påverkat våra servrar och omstart av dem är inte ett alternativ," sa en kund som heter harris_s på McAfee-forumet på tisdag.

"Jag arbetar i en mycket starkt kontrollerad miljö och utrullar en snabbkorrigering på 100 MB som kan kräva en omstart ASAP kommer inte att hända, säger en användare som heter Superhoop.

Det här är inte första gången McAfee har utfärdat en dålig DAT-fil. I april resulterade en DAT-uppdatering för säkerhetsprodukter från McAfee-e-postgateway till systemkrascher och misslyckade meddelanden.

McAfee är emellertid inte det enda antivirusföretag som tvingades under åren att hantera buggy-uppdateringar som påverkade sina kunders datorer på ett seriöst sätt.

"Eftersom dessa händelser blir en oroande trend bör vi genomföra testprocedurer inom våra organisationer som vi gör med andra uppdateringar som de som implementeras av Microsoft med Windows Update?" Manuel Humberto Santander Pelaez, en säkerhetshanteringshanterare på SANS Internet Storm Center, frågade i ett blogginlägg på måndag.

Vissa användare som svarade på hans blogginlägg tror att testa varje antivirusuppdatering skulle kosta för mycket tid och resurser jämfört med de möjliga fördelarna. Andra sa att fördröjning av uppdateringstillägget med 24 timmar eller genom att installera uppdateringarna i steg som börjar med de minst kritiska systemen skulle begränsa effekten av en dålig uppdatering.

Fördröjning av antivirusuppdateringar ökar en dators exponeringsfönster för de senaste hoten. Detta är dock en beräknad risk för att vissa administratörer är uppenbarligen villiga att ta.