国外着名Rootkit研究站点rootkit.com上发表了一篇文章: "Exploiting Kaspersky Antivirus 6.0-7.0" 作者为EP_XOFF/UG North,是着名的反Rootkit工具Rootkit Unhooker,Process walker的开发者。文章称,卡巴斯基反病毒软件从6.0到目前最新的7.0版中始终存在这一个严重的漏洞。
该漏洞最早由MS-Rem发现,安装了卡巴斯基反病毒软件后,任何具有最低用户权限的用户也可以使系统蓝屏崩溃,该漏洞主要存在与卡巴斯基反病毒软件用于挂钩SSDT NtOpenProcess的代码中,该段代码用于阻止其他程序打开卡巴斯基的自身进程,以达到自我保护的目的。在该函数中,卡巴斯基反病毒软件的驱动程序没有对用户传入的参数做严格检查,导致只要在调用NtOpenProcess时传入错误的参数,即可使系统访问错误的内核地址,从而导致系统蓝屏崩溃。作者声称他们早在数年前就发现了该漏洞并提交给卡巴斯基,但是被卡巴斯基忽略了 另外,卡巴斯基在新版中加入了异常处理机制来试图解决这一问题,作者称这是无法完全解决问题的,显然卡巴斯基的开发人员根本不知道使用一个非常简单的函数:MMIsADDRessValid就可以解决这个问题。
另外作者称,同样的漏洞还存在与卡巴斯基挂钩的多个函数中,包括
NtCreateKey NtCreateProcess
NtCreateProcessEx
NtCreateSection
NtCreateSymbolicLinkObject
NtCreateThread
NtDeleteValueKey
NtOpenKey
NtLoadKey2
NtOpenSection
NtQueryValueKey 所有这些函数都有问题。
下面这个网址介绍了关于卡巴斯基的漏洞及错误之处,包括
Patching system services at runtime
Improper Validation of User-mode Pointers
Hiding Threads from User-mode
Improper Validation of Kernel Object Types
Patching non-exported, non-system-service kernel functions
Allowing User-mode Code to Access Kernel Memory 等等
URl收藏 http://www.qqread.com/news/j315807.html
更多内容请看系统优化大全、系统安全设置、系统安装手册专题,或进入讨论组讨论。
相关专题
- US-CERT 再次发出RealPlayer危险警告 (12次浏览)
- 病毒太疯狂,即时通信难逃一劫 (12次浏览)
- 12月通过电子邮件传播的二十大恶意软件 (8次浏览)
- 2007.12.24至2007.12.30 每周病毒报告 (4次浏览)
- 盗号木马伪装成文本文件 专偷QQ密码 (2次浏览)
- 新垃圾邮件:我真的没带病毒来啊 (1次浏览)
- Windows任务计划程序惨遭蠕虫利用 (1次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web2.0 (0次浏览)
- 2007.12.31至2008.1.6 每周病毒报告 (0次浏览)
- 麦咖啡错将合法网站当贼抓 (0次浏览)
