Сергей Ильин

Kaspersky Internet Security Memory Corruption Vulnerability

В этой теме 14 сообщений

Kaspersky Internet Security Memory Corruption Vulnerability

Vulnerability-Lab Team discovered a Memory & Pointer Corruption Vulnerability on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012. A Memory Corruption vulnerability is detected on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012.



The vulnerability is caused by an invalid pointer corruption when processing a corrupt .cfg file through the kaspersky exception filters,which could be exploited by attackers to crash he complete software process.

The bug is located over the basegui.ppl & basegui.dll when processing a .cfg file import.

Affected Version(s):

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Kaspersky Anti-Virus 2011 & Kaspersky Internet Security 2011

KIS 2011 v11.0.0.232 (a.B)

KAV 11.0.0.400

KIS 2011 v12.0.0.374

Kaspersky Anti-Virus 2010 & Kaspersky Internet Security 2010

The kaspersky .cfg file import exception-handling filters wrong or manipulated file imports like one this first test ... (wrong-way.png). The PoC is not affected by the import exception-handling & get through without any problems. A invalid pointer write & read allows an local attacker to crash the software via memory corruption. The technic & software to detect the bug in the binary is private tool.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин , и ты туда же. Это такой жуткий боян, что даже комментировать нет смысла уже. Скажу одно - это даже не первый приоритет. И тем более не 0 day...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. :ph34r:

Оно конечно исправлено, в будущих версиях его не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. :ph34r:

А еще можно удалить продукт :) Тоже уязвимость.... А нужно всего лишь одно - ставить пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. ph34r.gif

Вообще там 2 разных вариант использования уязвимости. В ролике нагладно показано.

На счет критичности тут ведь как на это смотреть. Это явная брешь самозащиты продукта, которая не без оснований считается одной из лучших. Что мешает использовать эту уязвимость вредоносными программами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что мешает использовать эту уязвимость вредоносными программами?

Самозащита? Или предлагаешь ввести самозащиту на ручки юзера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По "уязвимости", связанной и кривым cfg. Во-первых боян, во-вторых:

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012>avp.com import d:\123.cfg

Kaspersky Anti-Virus ® 12.0.0.452

© 1997-2011 Kaspersky Lab ZAO. All rights reserved.

Parameter /password=<password> is required for this action.

If you have not yet specified the password, please specify it to enable the command.

Успехов.

Вторую еще не смотрел.

P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

Все равно ведь кто-то напишет, так как инфа всплыла в паблик только 19-го декабря. Поэтому лучше уж это сделаем с важным уточнением:

Важно отметить, что о данной ошибке стало известно еще год назад, о чем специалисты Vulnerability-Lab Team уведомили вендора. На данный момент уязвимость исправлена.
P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

Неплохо подстраховались кстати

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ой-ой, чего то мы зациклились на том что ГУЙ падает, а оказывается все интереснее,

Товарищи на видео потихонечку кнопку "завершить процесс" не нажимают а прячут, а как только процесс завершен, сервис его перезапускает, и у вас снова нормальный ГУЙ. -))))

Так что нифига даже не уязвимость.

ЗЫ. Это я только что на PoCе проверил если че, а не фантазирую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Исследователь уязвимостей Бенджамин Кунц Межри обнаружил новую 0-day уязвимость, позволяющую совершить порчу оперативной памяти в Kaspersky Anti-Virus 2011/2012 и Internet Security 2011/2012

appcrash3p_9645013_3619890.png

Уязвимость эксплуатируется локально при вызове фильтров исключения/защиты Kaspersky, она может быть использована злоумышленниками для нарушения деятельности ПО. Страдают все инстансы защиты: браузер и дополнение, Sidebar и ПО. Бенджамин Кунц Межри использовал новый подход для установления проблем с повреждением памяти и обошел исключение защитного фильтра программного обеспечения.

Затронутые версии:

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Источник

Что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что скажете?

Прошу прощения, не видел, что тема уже существует ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS