PDA

Просмотр полной версии : Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability



HATTIFNATTOR
15.06.2006, 10:24
Affected Software:

Kaspersky Anti-Virus 5.x
Kaspersky Anti-Virus 6.x
Kaspersky Internet Security 6.x

Critical: Not critical

Skywing has discovered a vulnerability in Kaspersky Anti-Virus, which potentially can be exploited by malicious, local users to cause a DoS (Denial of Service).

The vulnerability is caused due to missing validation of pointers supplied by user-space programs before they are used by custom system services installed by "klif.sys" to access memory. This can be exploited to cause the system to reboot due to invalid memory access.

The vulnerability has been confirmed in Kaspersky Anti-Virus 6.0.0.300, Kaspersky Internet Security 6.0.0.300, and also reported in Kaspersky Internet Security Suite 5.0. Other versions may also be affected.

Solution: Restrict system access to trusted users only.

http://secunia.com/advisories/20629/

aintrust
15.06.2006, 12:24
Как говорится, рано или поздно все тайное становится явным...

Да, к сожалению, проверка user-mode аргументов в функциях-перехватчиках системных сервисов (и не только) - это больное место автора драйвера klif.sys, Андрея Собко. Это тянется уже давно, от версии к версии, и что касается 6-й линейки KAV/KIS, то я уже писал (еще до выхода финального продукта) об этом Андрею в надежде, что он это поправит. Видать он или не успел, или не посчитал нужным. Надеюсь, что намного более серьезный баг, о котором я ему тоже писал, он все же поправил (я не проверял это в 300-й сборке).

Статья в оригинале довольно интересная, хотя местами и немного затянутая, и дает представление о том, как реально (с какими уловками, ухищрениями и допущениями - далеко не всегда хорошо обдуманными) пишется программный код в коммерческих продуктах. Очень советую прочитать всем, кто так или иначе сталкивается с написанием драйверов ядра.

Shu_b
15.06.2006, 15:22
Отказ в обслуживании в Kaspersky Anti-Virus
http://www.securitylab.ru/vulnerability/269074.php
Программа:
Kaspersky Anti-Virus 6.0.0.300
Kaspersky Internet Security 6.0.0.300
Kaspersky Internet Security Suite 5.0
Опасность: Низкая
Наличие эксплоита: Нет

Описание:
Уязвимость позволяет локальному пользователю вызвать отказ в обслуживании.

Уязвимость существует из-за отсутствия проверки указателей, передаваемых пользовательскими приложениями, перед использованием их при доступе к памяти в файле "klif.sys". Локальный пользователь может вызвать перезагрузку системы.

Решение: Способов устранения уязвимости не существует в настоящее время.

Xen
15.06.2006, 22:50
Боян.

Sanja
15.06.2006, 23:03
>Локальный пользователь может вызвать перезагрузку системы.
Если начать перечислать такого рода уязвимости конкурента то баг-трекер затопит репортами Ж))))

Shu_b
16.06.2006, 08:31
Ну и для полного комплекта добавим с security.nnov.ru (http://security.nnov.ru/Gnews263.html)

Многочисленные уязвимости в Антивирусе Касперского
Опубликовано: 15 июня 2006 г.
Источник: UNINFORMED
Тип: локальная
Опасность: 6/10
Описание: Небезопасная работа компонентов уровня ядра приводит к возможности атак на отказ и повышению привилегий. В частности, возможен доступ пользовательского кода к памяти ядра.
Затронутые продукты: KASPERSKY:Kaspersky Internet Security Suite 5.0

Оригинальный текст
UNINFORMED, Allowing User-mode Code to Access Kernel Memory (http://security.nnov.ru/Ndocument198.html) (15.06.2006)
UNINFORMED, Patching non-exported, non-system-service kernel functions (http://security.nnov.ru/Ndocument197.html)(15.06.2006)
UNINFORMED, Improper Validation of Kernel Object Types (http://security.nnov.ru/Ndocument196.html) (15.06.2006)
UNINFORMED, Hiding Threads from User-mode (http://security.nnov.ru/Ndocument195.html) (15.06.2006)
UNINFORMED, Improper Validation of User-mode Pointers (http://security.nnov.ru/Ndocument194.html) (15.06.2006)
UNINFORMED, Patching system services at runtime (http://security.nnov.ru/Ndocument193.html) (15.06.2006)

aintrust
16.06.2006, 09:18
>Локальный пользователь может вызвать перезагрузку системы.
Если начать перечислать такого рода уязвимости конкурента то баг-трекер затопит репортами Ж))))
Саня, какого конкурента? Вы, случаем, не перепутали этот форум с http://www.anti-malware.ru? :P

aintrust
16.06.2006, 09:26
Боян.
В каком смысле?

Xen
16.06.2006, 09:43
В таком, что соглашаюсь с твоим постом.

aintrust
16.06.2006, 10:11
В таком, что соглашаюсь с твоим постом.
А лучше бы не согласился, что ли... Побазарили бы, кровь разогрели... :P А то после футбола так спать хочется!

PS. Off-topic, sorry.

Sanja
16.06.2006, 19:00
Саня, какого конкурента? Вы, случаем, не перепутали этот форум с http://www.anti-malware.ru? :P
Неа.. просто юмор Ж) Мне нравится как весело протикает жизнь с бсодами и дырками у сами знаете кого и как детально обсуждают дырку тоже сами знаете кого.

Смешно - чесс слово Ж)