Отказ в обслуживании в Kaspersky AntiVirus

[B]24 сентября, 2007[/B]

[B]Программа: [/B]Kaspersky AntiVirus 7.0 build 125, возможно более ранние версии.

[B]Опасность: [COLOR=green]Низкая[/COLOR][/B]

[B]Наличие эксплоита: [COLOR=green]Нет[/COLOR][/B]

[B]Описание: [/B]
Уязвимость позволяет локальному пользователю вызвать отказ в обслуживании приложения.
Уязвимость существует из-за ошибки в драйвере klif.sys при обработке параметров некоторых перехватываемых функций. Локальный пользователь может вызвать функции "NtCreateSection()", "NtUserSendInput()", "LoadLibraryA()" или другую SSDT функцию со специально сформированными параметрами и аварийно завершить работу антивируса.

[B]URL производителя: [/B][URL="http://www.kaspersky.com"][COLOR=#0000ff]www.kaspersky.com[/COLOR][/URL]

[B]Решение: [/B]Способов устранения уязвимости не существует в настоящее время.

[URL="http://www.securitylab.ru/vulnerability/303416.php"]securitylab.ru[/URL]

компания "Лаборатория Касперского", опубликовала пресс-релиз, в котором даёт официальные разъяснения по поводу появившейся на сайте Rootkit.com информации о наличии уязвимостей в её продуктах по безопасности. Думаю, всем владельцам Антивирусов Касперского (а также остальным читателям) данная информация покажется интересной...

На сайте Rootkit.com было опубликовано сообщение об обнаружении в продуктах "Лаборатории Касперского" для ОС Windows двух уязвимостей, влияющих на функционирование продукта. К сожалению, в очередной раз автор не поставил предварительно в известность компанию-производителя, что является стандартом де-факто в отрасли.

В статье приводится следующая информация:

1. Из-за отсутствия проверки данных в части кода драйвера klif.sys исполнение на компьютере с работающим Антивирусом Касперского вредоносного кода может приводить к критической системной ошибке (BSOD). "Лаборатория Касперского" расценивает эту уязвимость как не опасную, поскольку ей нельзя воспользоваться с удаленного компьютера, и она не приводит к повышению прав атакующего. Кроме того, вероятность появления вредоносного кода, использующего данную уязвимость практически равна 0, так как никакой пользы атакующий извлечь из данной уязвимости не может. Код, в котором находится эта уязвимость, уже устарел, на современных компьютерах в его использовании нет необходимости, и вскоре он будет удалён из продуктов компании.

2. Использование функции DuplicateHandle на потоках процессов антивируса, доступных в системном процессе csrss.exe, приводит к его остановке. "Лаборатория Касперского" не считает эту особенность функционирования своих продуктов уязвимостью. Продукты "Лаборатории Касперского" обладают максимальной степенью самозащиты от вредоносного кода. Закрыть абсолютно все возможности вмешаться в работу антивируса в ОС Windows не представляется возможным или же это потребует слишком много ресурсов. Вместе с тем, "Лаборатория Касперского" планирует и далее усиливать самозащиту своих продуктов.

Как итог: "Лаборатория Касперского" рекомендует пользователям своих продуктов по возможности избегать запуска на компьютере программ, попавших к ним из ненадежных и неизвестных источников. Ошибка в обработке данных драйвером klif.sys будет исправлена обновлением антивирусных продуктов компании в ноябре текущего года.