NOD32 Antivirus Two Buffer Overflow Vulnerabilities

Printable View

23.05.2007, 14:48
ALEX(XX)

NOD32 Antivirus Two Buffer Overflow Vulnerabilities

[B]Secunia Advisory:[/B] SA25375

[B]Release Date:[/B] 2007-05-23

[B]Critical:[/B] [URL="http://secunia.com/about_secunia_advisories/"][IMG]http://secunia.com/gfx/crit_3.gif[/IMG] [COLOR=#0000ff]Moderately critical[/COLOR][/URL]

[B]Impact:[/B] Privilege escalation System access

[B]Where:[/B] From remote

[B]Solution Status:[/B] Vendor Patch

[B]Software:[/B][URL="http://secunia.com/product/1066/"][COLOR=#0000ff]NOD32 for Windows NT/2000/XP/2003 2.x[/COLOR][/URL]

[B]Description[/B]:
Ismael Briones has reported two vulnerabilities in Nod32 Antivirus, which potentially can be exploited by malicious users to gain escalated privileges, or by malicious people to compromise a vulnerable system.

The vulnerabilities are caused due to boundary errors when cleaning, deleting, or renaming files detected as malware. These can be exploited to cause stack-based buffer overflows via a specially crafted directory containing malware with an overly long directory or path name.

Successful exploitation may allow execution of arbitrary code.

The vulnerabilities are reported in versions prior to 2.70.37.

[B]Solution[/B]:
Update to version 2.70.39.
[URL="http://www.eset.com/download/registered_software.php"][COLOR=#810081]http://www.eset.com/download/registered_software.php[/COLOR][/URL]

[B]Provided and/or discovered by[/B]:
Ismael Briones

[B]Original Advisory[/B]:
ESET:
[URL="http://www.eset.com/support/news.php"][COLOR=#810081]http://www.eset.com/support/news.php[/COLOR][/URL]

Ismael Briones:
[URL="http://www.inkatel.com/wp-content/uploads/2007/05/Advisory.txt"][COLOR=#0000ff]http://www.inkatel.com/wp-content/uploads/2007/05/Advisory.txt[/COLOR][/URL]

[URL="http://secunia.com/advisories/25375/"]secunia.com[/URL]

PS: Насколько понял, при лечении, удалении, переименовании зараженного файла в специально созданной директории с очень длинным именем или путём в которой есть зараженные объекты возможно переполнение буфера и выполнение произвольного кода.
Рекомендуют обновиться до версии 2.70.39
25.05.2007, 09:06
santy

А русской версии еще нет пока.
25.05.2007, 12:16
ALEX(XX)

Переполнение буфера в NOD32 Antivirus

[B]25 мая, 2007[/B]

[B]Программа: [/B]NOD32 for Windows NT/2000/XP/2003 версии до 2.70.37.

[B]Опасность: [COLOR=darkorange]Средняя[/COLOR][/B]

[B]Наличие эксплоита: [COLOR=green]Нет[/COLOR][/B]

[B]Описание: [/B]
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки проверки границ данных очистке, удалении или переименовании файлов, определенных как злонамеренное ПО. Злоумышленник может с по помощью специально сформированного имени директории, в которой расположено злонамеренное ПО, вызвать переполнение стека и выполнить произвольный код на целевой системе.

[B]URL производителя: [/B][URL="http://www.eset.com/download/download.htm"][COLOR=#0000ff]www.eset.com/download/download.htm[/COLOR][/URL]

[B]Решение: [/B]Установите последнюю версию 2.70.39 с сайта производителя.

[URL="http://www.securitylab.ru/vulnerability/296571.php"]securitylab.ru[/URL]