查看: 2748|回复: 5
收起左侧

卡巴斯基6.0-7.0通用漏洞,Guest用户即可使系统崩溃

[复制链接]
冷三公子
发表于 2007-6-5 07:54:53 | 显示全部楼层 |阅读模式
卡巴斯基6.0-7.0通用漏洞,Guest用户即可使系统崩溃




感谢EP_X0FF的投递
新闻来源:rootkit.com
6月4日,国外著名Rootkit研究站点rootkit.com上发表了一篇文章: "Exploiting Kaspersky Antivirus 6.0-7.0" 作者为EP_XOFF/UG North,是著名的反Rootkit工具Rootkit Unhooker,Process walker的开发者 文章中作者声称,卡巴斯基反病毒软件从6.0到目前最新的7.0版中始终存在这一个严重的漏洞 该漏洞最早由MS-Rem发现,安装了卡巴斯基反病毒软件后,任何具有最低用户权限的用户也可以使系统蓝屏崩溃 该漏洞主要存在与卡巴斯基反病毒软件用于挂钩 SSDT NtOpenProcess的代码中 该段代码用于阻止其他程序打开卡巴斯基的自身进程,以达到自我保护的目的 在该函数中,卡巴斯基反病毒软件的驱动程序没有对用户传入的参数做严格检查,导致只要在调用NtOpenProcess时传入错误的参数,即可使系统访问错误的内核地址,从而导致系统蓝屏崩溃。



作者声称他们早在数年前就发现了该漏洞并提交给卡巴斯基,但是被卡巴斯基忽略了 另外,卡巴斯基在新版中加入了异常处理机制来试图解决这一问题, 作者称这是无法完全解决问题的,显然卡巴斯基的开发人员根本不知道使用一个非常简单的函数:MMIsAddressValid就可以解决这个问题 另外作者称,同样的漏洞还存在与卡巴斯基挂钩的多个函数中,包括

NtCreateKey NtCreateProcess
NtCreateProcessEx
NtCreateSection
NtCreateSymbolicLinkObject
NtCreateThread
NtDeleteValueKey
NtOpenKey
NtLoadKey2
NtOpenSection
NtQueryValueKey 所有这些函数都是有问题的,

http://www.rootkit.com/newsread.php?newsid=726 (英文,且技术细节较多,不愿意看的可以略过) 下

面这个网址介绍了关于卡巴斯基的漏洞及错误之处 包括

Patching system services at runtime
Improper Validation of User-mode Pointers
Hiding Threads from User-mode
Improper Validation of Kernel Object Types
Patching non-exported, non-system-service kernel functions
Allowing User-mode Code to Access Kernel Memory 等等

http://uninformed.org/index.cgi?v=4&a=4&p=4
linziboy
发表于 2007-6-5 08:17:56 | 显示全部楼层
那就把guest用户关了先,用的时候再打开。
Redevil
发表于 2007-6-5 08:26:08 | 显示全部楼层
我的只有管理员帐户
其他的都停用了
不过这个问题值得关注
希望卡巴尽早修复
sharkkong
头像被屏蔽
发表于 2007-6-6 10:22:16 | 显示全部楼层
GUEST,每一次装系统第一件事就是禁用它
bingren922
发表于 2007-6-6 10:23:45 | 显示全部楼层
同意LS说的
colorballoon
发表于 2007-6-6 10:23:55 | 显示全部楼层
关注ING
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 18:48 , Processed in 0.141106 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表