Kaspersky Internet Security Memory Corruption Vulnerability

[Сергей Ильин 1538]

Kaspersky Internet Security Memory Corruption Vulnerability

Vulnerability-Lab Team discovered a Memory & Pointer Corruption Vulnerability on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012. A Memory Corruption vulnerability is detected on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012.



The vulnerability is caused by an invalid pointer corruption when processing a corrupt .cfg file through the kaspersky exception filters,which could be exploited by attackers to crash he complete software process.

The bug is located over the basegui.ppl & basegui.dll when processing a .cfg file import.

Affected Version(s):

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Kaspersky Anti-Virus 2011 & Kaspersky Internet Security 2011

KIS 2011 v11.0.0.232 (a.

KAV 11.0.0.400

KIS 2011 v12.0.0.374

Kaspersky Anti-Virus 2010 & Kaspersky Internet Security 2010

The kaspersky .cfg file import exception-handling filters wrong or manipulated file imports like one this first test ... (wrong-way.png). The PoC is not affected by the import exception-handling & get through without any problems. A invalid pointer write & read allows an local attacker to crash the software via memory corruption. The technic & software to detect the bug in the binary is private tool.

Источник

[Danilka 678]

Сергей Ильин , и ты туда же. Это такой жуткий боян, что даже комментировать нет смысла уже. Скажу одно - это даже не первый приоритет. И тем более не 0 day...

[OlegAndr 236]

Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл.

Оно конечно исправлено, в будущих версиях его не будет.

[Danilka 678]

Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл.

А еще можно удалить продукт Тоже уязвимость.... А нужно всего лишь одно - ставить пароль.

[Mr. Justice 771]

Обсуждение заметки о выносе антивирусов выделил в отдельный топик.

[Сергей Ильин 1538]

Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. ph34r.gif

Вообще там 2 разных вариант использования уязвимости. В ролике нагладно показано.

На счет критичности тут ведь как на это смотреть. Это явная брешь самозащиты продукта, которая не без оснований считается одной из лучших. Что мешает использовать эту уязвимость вредоносными программами?

[Danilka 678]

Что мешает использовать эту уязвимость вредоносными программами?

Самозащита? Или предлагаешь ввести самозащиту на ручки юзера?

[A. 875]

... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

[Umnik 997]

По "уязвимости", связанной и кривым cfg. Во-первых боян, во-вторых:

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012>avp.com import d:\123.cfg

Kaspersky Anti-Virus ® 12.0.0.452

© 1997-2011 Kaspersky Lab ZAO. All rights reserved.

Parameter /password=<password> is required for this action.

If you have not yet specified the password, please specify it to enable the command.

Успехов.

Вторую еще не смотрел.

P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

[Сергей Ильин 1538]

... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

Все равно ведь кто-то напишет, так как инфа всплыла в паблик только 19-го декабря. Поэтому лучше уж это сделаем с важным уточнением:

Важно отметить, что о данной ошибке стало известно еще год назад, о чем специалисты Vulnerability-Lab Team уведомили вендора. На данный момент уязвимость исправлена.

P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

Неплохо подстраховались кстати

[OlegAndr 236]

Ой-ой, чего то мы зациклились на том что ГУЙ падает, а оказывается все интереснее,

Товарищи на видео потихонечку кнопку "завершить процесс" не нажимают а прячут, а как только процесс завершен, сервис его перезапускает, и у вас снова нормальный ГУЙ. -))))

Так что нифига даже не уязвимость.

ЗЫ. Это я только что на PoCе проверил если че, а не фантазирую.

[sbelow 120]

Исследователь уязвимостей Бенджамин Кунц Межри обнаружил новую 0-day уязвимость, позволяющую совершить порчу оперативной памяти в Kaspersky Anti-Virus 2011/2012 и Internet Security 2011/2012

Уязвимость эксплуатируется локально при вызове фильтров исключения/защиты Kaspersky, она может быть использована злоумышленниками для нарушения деятельности ПО. Страдают все инстансы защиты: браузер и дополнение, Sidebar и ПО. Бенджамин Кунц Межри использовал новый подход для установления проблем с повреждением памяти и обошел исключение защитного фильтра программного обеспечения.

Затронутые версии:

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Источник

Что скажете?

[A. 875]

Скажу что и он и вы - слоупоки

[sbelow 120]

Что скажете?

Прошу прощения, не видел, что тема уже существует ...