-
Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability
Affected Software:
Kaspersky Anti-Virus 5.x
Kaspersky Anti-Virus 6.x
Kaspersky Internet Security 6.x
Critical: Not critical
Skywing has discovered a vulnerability in Kaspersky Anti-Virus, which potentially can be exploited by malicious, local users to cause a DoS (Denial of Service).
The vulnerability is caused due to missing validation of pointers supplied by user-space programs before they are used by custom system services installed by "klif.sys" to access memory. This can be exploited to cause the system to reboot due to invalid memory access.
The vulnerability has been confirmed in Kaspersky Anti-Virus 6.0.0.300, Kaspersky Internet Security 6.0.0.300, and also reported in Kaspersky Internet Security Suite 5.0. Other versions may also be affected.
Solution: Restrict system access to trusted users only.
http://secunia.com/advisories/20629/
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Как говорится, рано или поздно все тайное становится явным...
Да, к сожалению, проверка user-mode аргументов в функциях-перехватчиках системных сервисов (и не только) - это больное место автора драйвера klif.sys, Андрея Собко. Это тянется уже давно, от версии к версии, и что касается 6-й линейки KAV/KIS, то я уже писал (еще до выхода финального продукта) об этом Андрею в надежде, что он это поправит. Видать он или не успел, или не посчитал нужным. Надеюсь, что намного более серьезный баг, о котором я ему тоже писал, он все же поправил (я не проверял это в 300-й сборке).
Статья в оригинале довольно интересная, хотя местами и немного затянутая, и дает представление о том, как реально (с какими уловками, ухищрениями и допущениями - далеко не всегда хорошо обдуманными) пишется программный код в коммерческих продуктах. Очень советую прочитать всем, кто так или иначе сталкивается с написанием драйверов ядра.
Последний раз редактировалось aintrust; 15.06.2006 в 14:07.
-
-
Отказ в обслуживании в Kaspersky Anti-Virus
http://www.securitylab.ru/vulnerability/269074.php
Программа:
Kaspersky Anti-Virus 6.0.0.300
Kaspersky Internet Security 6.0.0.300
Kaspersky Internet Security Suite 5.0
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет локальному пользователю вызвать отказ в обслуживании.
Уязвимость существует из-за отсутствия проверки указателей, передаваемых пользовательскими приложениями, перед использованием их при доступе к памяти в файле "klif.sys". Локальный пользователь может вызвать перезагрузку системы.
Решение: Способов устранения уязвимости не существует в настоящее время.
-
-
-
Visiting Helper
- Вес репутации
- 76
>Локальный пользователь может вызвать перезагрузку системы.
Если начать перечислать такого рода уязвимости конкурента то баг-трекер затопит репортами Ж))))
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Ну и для полного комплекта добавим с security.nnov.ru
Многочисленные уязвимости в Антивирусе Касперского
Опубликовано: 15 июня 2006 г.
Источник: UNINFORMED
Тип: локальная
Опасность: 6/10
Описание: Небезопасная работа компонентов уровня ядра приводит к возможности атак на отказ и повышению привилегий. В частности, возможен доступ пользовательского кода к памяти ядра.
Затронутые продукты: KASPERSKY:Kaspersky Internet Security Suite 5.0
Оригинальный текст
UNINFORMED, Allowing User-mode Code to Access Kernel Memory (15.06.2006)
UNINFORMED, Patching non-exported, non-system-service kernel functions (15.06.2006)
UNINFORMED, Improper Validation of Kernel Object Types (15.06.2006)
UNINFORMED, Hiding Threads from User-mode (15.06.2006)
UNINFORMED, Improper Validation of User-mode Pointers (15.06.2006)
UNINFORMED, Patching system services at runtime (15.06.2006)
-
-
Сообщение от
Sanja
>Локальный пользователь может вызвать перезагрузку системы.
Если начать перечислать такого рода уязвимости конкурента то баг-трекер затопит репортами Ж))))
Саня, какого конкурента? Вы, случаем, не перепутали этот форум с http://www.anti-malware.ru? 
-
-
Сообщение от
Xen
Боян.
В каком смысле?
-
-
В таком, что соглашаюсь с твоим постом.
-
Сообщение от
Xen
В таком, что соглашаюсь с твоим постом.
А лучше бы не согласился, что ли... Побазарили бы, кровь разогрели... А то после футбола так спать хочется!
PS. Off-topic, sorry.
-
-
Visiting Helper
- Вес репутации
- 76
Сообщение от
aintrust
Неа.. просто юмор Ж) Мне нравится как весело протикает жизнь с бсодами и дырками у сами знаете кого и как детально обсуждают дырку тоже сами знаете кого.
Смешно - чесс слово Ж)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
Ответить с цитированием
