微软反病毒引擎远程执行漏洞

yfdyh000

驭龙 发表于 2017-5-16 10:10
我说的是WD这种扫描便被控制的漏洞，并不是说别人没有漏洞，凡是软件都会有漏洞

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016040201 就是

驭龙

yfdyh000 发表于 2017-5-16 12:26
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016040201 就是

如果你认为这个跟楼主说的漏洞是同个级别，我无话可说，注意ESET解压的文件类型

// ESET NOD32 Heap overflow unpacking EPOC installation files.
//
// By creating a file record with type SIS_FILE_MULTILANG (meaning a different
// file is provided for every supported language), and then claiming to support
// a very large number of languages, a 16-bit calculation overflows. This leads
// to a nice clean heap overflow.
//
// The maximum possible value for the number of languages is 99, because only
// 99 language codes are defined. Even if you included a different file for
// every language it wouldn't exceed 99.
//
// So the bug is, check for overflow if you want to support non-existant
// language codes, or cap it at 99.

yfdyh000

驭龙 发表于 2017-5-16 13:08
如果你认为这个跟楼主说的漏洞是同个级别，我无话可说，注意ESET解压的文件类型

危害等级：         超危
远程攻击者可借助SIS_FILE_MULTILANG类型的EPOC安装文件中大量的语言利用该漏洞执行任意代码。

不是同个级别吗，扫描特定文件时执行任意代码。

驭龙

yfdyh000 发表于 2017-5-16 13:26
危害等级：         超危
远程攻击者可借助SIS_FILE_MULTILANG类型的EPOC安装文件中大量的语言利用该漏洞执行 ...

ESET NOD32 Heap overflow unpacking EPOC installation files.

溢出的前提是解压EPOC安装文件，跟WD的漏洞不同的

ELOHIM

yfdyh000 发表于 2017-5-16 01:50
没谁能完全杜绝
https://www.easyaq.com/news/1113083110.shtml
http://www.cnnvd.org.cn/vulnerabilit ...

这个网站以前只是微信关注，今天网站里面一搜，蒙蔽了。。

杀毒软件都有这么多漏洞啊。。

看来高权限杀毒被攻破，就个屁了。。。

学习了。

yfdyh000

驭龙 发表于 2017-5-16 14:30
溢出的前提是解压EPOC安装文件，跟WD的漏洞不同的

所以用户下载EPOC安装文件时不就触发了，除非实时防护的监控选项有排除此类。

意义上是一样的，检查模块溢出了，而且权限很高。

驭龙

yfdyh000 发表于 2017-5-16 18:09
所以用户下载EPOC安装文件时不就触发了，除非实时防护的监控选项有排除此类。

意义上是一样的，检查模 ...

可问题是EPOC文件是用户下载以后才会触发漏洞，而WD是访问网站就容易触发漏洞，所以WD的这个漏洞更严重才对

yfdyh000

驭龙 发表于 2017-5-16 18:11
可问题是EPOC文件是用户下载以后才会触发漏洞，而WD是访问网站就容易触发漏洞，所以WD的这个漏洞更严重才 ...

嗯，好像是更容易触发些。但其实级别差不多，都是高危、高权限的远程代码执行。
想让用户下载一个文件并不难，点一下链接可能就已缓存并扫描了（估计放在压缩包里也有效）。或者发在电子邮件附件，邮件客户端可能就自动下载了。

http://www.cnnvd.org.cn/notice/show/id/8441