Перейти к содержанию

Recommended Posts

Сергей Ильин

Kaspersky Internet Security Memory Corruption Vulnerability

Vulnerability-Lab Team discovered a Memory & Pointer Corruption Vulnerability on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012. A Memory Corruption vulnerability is detected on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012.



The vulnerability is caused by an invalid pointer corruption when processing a corrupt .cfg file through the kaspersky exception filters,which could be exploited by attackers to crash he complete software process.

The bug is located over the basegui.ppl & basegui.dll when processing a .cfg file import.

Affected Version(s):

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Kaspersky Anti-Virus 2011 & Kaspersky Internet Security 2011

KIS 2011 v11.0.0.232 (a.B)

KAV 11.0.0.400

KIS 2011 v12.0.0.374

Kaspersky Anti-Virus 2010 & Kaspersky Internet Security 2010

The kaspersky .cfg file import exception-handling filters wrong or manipulated file imports like one this first test ... (wrong-way.png). The PoC is not affected by the import exception-handling & get through without any problems. A invalid pointer write & read allows an local attacker to crash the software via memory corruption. The technic & software to detect the bug in the binary is private tool.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Сергей Ильин , и ты туда же. Это такой жуткий боян, что даже комментировать нет смысла уже. Скажу одно - это даже не первый приоритет. И тем более не 0 day...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. :ph34r:

Оно конечно исправлено, в будущих версиях его не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. :ph34r:

А еще можно удалить продукт :) Тоже уязвимость.... А нужно всего лишь одно - ставить пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. ph34r.gif

Вообще там 2 разных вариант использования уязвимости. В ролике нагладно показано.

На счет критичности тут ведь как на это смотреть. Это явная брешь самозащиты продукта, которая не без оснований считается одной из лучших. Что мешает использовать эту уязвимость вредоносными программами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Что мешает использовать эту уязвимость вредоносными программами?

Самозащита? Или предлагаешь ввести самозащиту на ручки юзера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

По "уязвимости", связанной и кривым cfg. Во-первых боян, во-вторых:

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012>avp.com import d:\123.cfg

Kaspersky Anti-Virus ® 12.0.0.452

© 1997-2011 Kaspersky Lab ZAO. All rights reserved.

Parameter /password=<password> is required for this action.

If you have not yet specified the password, please specify it to enable the command.

Успехов.

Вторую еще не смотрел.

P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

Все равно ведь кто-то напишет, так как инфа всплыла в паблик только 19-го декабря. Поэтому лучше уж это сделаем с важным уточнением:

Важно отметить, что о данной ошибке стало известно еще год назад, о чем специалисты Vulnerability-Lab Team уведомили вендора. На данный момент уязвимость исправлена.
P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

Неплохо подстраховались кстати

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Ой-ой, чего то мы зациклились на том что ГУЙ падает, а оказывается все интереснее,

Товарищи на видео потихонечку кнопку "завершить процесс" не нажимают а прячут, а как только процесс завершен, сервис его перезапускает, и у вас снова нормальный ГУЙ. -))))

Так что нифига даже не уязвимость.

ЗЫ. Это я только что на PoCе проверил если че, а не фантазирую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Исследователь уязвимостей Бенджамин Кунц Межри обнаружил новую 0-day уязвимость, позволяющую совершить порчу оперативной памяти в Kaspersky Anti-Virus 2011/2012 и Internet Security 2011/2012

appcrash3p_9645013_3619890.png

Уязвимость эксплуатируется локально при вызове фильтров исключения/защиты Kaspersky, она может быть использована злоумышленниками для нарушения деятельности ПО. Страдают все инстансы защиты: браузер и дополнение, Sidebar и ПО. Бенджамин Кунц Межри использовал новый подход для установления проблем с повреждением памяти и обошел исключение защитного фильтра программного обеспечения.

Затронутые версии:

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Источник

Что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow
Что скажете?

Прошу прощения, не видел, что тема уже существует ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      Неожиданно в Win10 всплыла нехорошая ошибка с правами доступа к ключам, как оказалось полный доступ к некоторым ключам может привести к неработоспособности отдельных компонентов Windows.
      К примеру исправление двойных слешей в Win10 1803 убивает меню пуск, почему ему не нравится полный доступ к ключу я так и не понял, но теперь такой проблемы нет и владелец и права доступа восстанавливаются после модификации ключа. ---------------------------------------------------------
       4.0.18
      ---------------------------------------------------------
       o В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса.
         "CPU" = загрузка всего процессора.
         "CPU 1 core" = загрузка в пересчете на 1 ядро.  o uVS теперь восстанавливает права доступа и владельца ключей после модификации параметров ключа.  o Исправлена ошибка из-за которой в лог могло выводиться обрезанное информационное сообщение о пути до ключа реестра.  o Исправлена ошибка из-за которой не удавалось изменить некоторые ключи реестра при запуске uVS под текущим пользователем.
         (Если права доступа запрещали изменение ключа для текущего пользователя).  o Исправлена финальная (когда не помогло использования ASA) функция удаления защищенных ключей реестра из веток *\CLSID.
         Ранее удаление завершалось с ошибкой "ключ не найден".
         (!) Внимательно следите за тем что вы удаляете, функция игнорирует системную защиту реестра (Win10) и защиту большинства антивирусных программ.  
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×