Перейти к содержанию

Recommended Posts

Сергей Ильин

Kaspersky Internet Security Memory Corruption Vulnerability

Vulnerability-Lab Team discovered a Memory & Pointer Corruption Vulnerability on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012. A Memory Corruption vulnerability is detected on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012.



The vulnerability is caused by an invalid pointer corruption when processing a corrupt .cfg file through the kaspersky exception filters,which could be exploited by attackers to crash he complete software process.

The bug is located over the basegui.ppl & basegui.dll when processing a .cfg file import.

Affected Version(s):

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Kaspersky Anti-Virus 2011 & Kaspersky Internet Security 2011

KIS 2011 v11.0.0.232 (a.B)

KAV 11.0.0.400

KIS 2011 v12.0.0.374

Kaspersky Anti-Virus 2010 & Kaspersky Internet Security 2010

The kaspersky .cfg file import exception-handling filters wrong or manipulated file imports like one this first test ... (wrong-way.png). The PoC is not affected by the import exception-handling & get through without any problems. A invalid pointer write & read allows an local attacker to crash the software via memory corruption. The technic & software to detect the bug in the binary is private tool.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Сергей Ильин , и ты туда же. Это такой жуткий боян, что даже комментировать нет смысла уже. Скажу одно - это даже не первый приоритет. И тем более не 0 day...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. :ph34r:

Оно конечно исправлено, в будущих версиях его не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. :ph34r:

А еще можно удалить продукт :) Тоже уязвимость.... А нужно всего лишь одно - ставить пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ужасный зиройдей, который чтобы активировать надо руками загружать в продукт специальный файл. ph34r.gif

Вообще там 2 разных вариант использования уязвимости. В ролике нагладно показано.

На счет критичности тут ведь как на это смотреть. Это явная брешь самозащиты продукта, которая не без оснований считается одной из лучших. Что мешает использовать эту уязвимость вредоносными программами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Что мешает использовать эту уязвимость вредоносными программами?

Самозащита? Или предлагаешь ввести самозащиту на ручки юзера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

По "уязвимости", связанной и кривым cfg. Во-первых боян, во-вторых:

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012>avp.com import d:\123.cfg

Kaspersky Anti-Virus ® 12.0.0.452

© 1997-2011 Kaspersky Lab ZAO. All rights reserved.

Parameter /password=<password> is required for this action.

If you have not yet specified the password, please specify it to enable the command.

Успехов.

Вторую еще не смотрел.

P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
... и моментально вывесили это новостью на сайте. http://anti-malware.ru/

Илья, твои контент-редакторы форум совсем не читают ?

Все равно ведь кто-то напишет, так как инфа всплыла в паблик только 19-го декабря. Поэтому лучше уж это сделаем с важным уточнением:

Важно отметить, что о данной ошибке стало известно еще год назад, о чем специалисты Vulnerability-Lab Team уведомили вендора. На данный момент уязвимость исправлена.
P.S. Для тех кто в танке. Импорт из командной строки можно сделать только предварительно задав пароль на изменение настроек. Нет пароля - нет импорта. Есть пароль - злоумышленник должен его знать заранее. Из GUI сам он не сможет опять же что-то сделать, т.к. самозащита запрещает управление интерфейсом.

Неплохо подстраховались кстати

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Ой-ой, чего то мы зациклились на том что ГУЙ падает, а оказывается все интереснее,

Товарищи на видео потихонечку кнопку "завершить процесс" не нажимают а прячут, а как только процесс завершен, сервис его перезапускает, и у вас снова нормальный ГУЙ. -))))

Так что нифига даже не уязвимость.

ЗЫ. Это я только что на PoCе проверил если че, а не фантазирую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Исследователь уязвимостей Бенджамин Кунц Межри обнаружил новую 0-day уязвимость, позволяющую совершить порчу оперативной памяти в Kaspersky Anti-Virus 2011/2012 и Internet Security 2011/2012

appcrash3p_9645013_3619890.png

Уязвимость эксплуатируется локально при вызове фильтров исключения/защиты Kaspersky, она может быть использована злоумышленниками для нарушения деятельности ПО. Страдают все инстансы защиты: браузер и дополнение, Sidebar и ПО. Бенджамин Кунц Межри использовал новый подход для установления проблем с повреждением памяти и обошел исключение защитного фильтра программного обеспечения.

Затронутые версии:

Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012

KIS 2012 v12.0.0.374

KAV 2012 v12.x

Источник

Что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow
Что скажете?

Прошу прощения, не видел, что тема уже существует ... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • soleg
      Горшки, в которых продается рассада не пригодны для дальнейшего использования. Лучше сразу запастись удобными и качественными емкостями для пересадки. Чтобы купить товары для рассады, посетите интернет-каталог "Сатом". Там можно купить емкости для рассады https://satom.ru/t/emkosti-dlya-rassady-8313/ по не плохим ценам. Такие горшки для рассады (растений) очень часто используют флористы, фермеры или же просто садоводы-любители. Кому интересно можете сами посмотреть.
    • hamam
      Здравствуйте, как думаете лучше купить горшки и самому выращивать рассаду или к подходящему времени купить готовую рассаду и посадить на даче?
    • Quinsy
      Многие из нас отказались от работы в офисах в пользу надомной работы. Для этого достаточно иметь ноутбук или компьютер с интернетом, ну и саму работу. Сиди работай, пей чай, общайся с заказчиком. Единственный минус такой работы в том, что техника не вечна. У  меня вот был срочный заказ и бабац, ноутбук вырубился и не хотел никак включаться. Аврал. Во внутренностях ноутбука я вообще не разбираюсь, проект надо было сдавать, а что делать. Хорошо, что нашёл компьютерную мастерскую http://zelcompmaster.ru/ , где согласились в срочном порядке посмотреть и починить, если это возможно. Посмотрели, сказали, что там процессор накрылся. В наличии у них такой был, как для моего ноутбука. В течении часа заменили. И я смог доработать. Спасибо, очень выручили. 
    • ElenaPrekrasna9i
      Была бы у меня возможность, купила бы себе пианино и только акустическое) Все же это музыкальный инструмент http://www.gorodnabire.ru/publikatsii/kak-poyavilos-pianino-razbiraemsya-vmeste с многолетней историей. Да и выглядит оно более солидно и отлично впишется в интерьер, если у вас большая, просторная комната. Цифровые конечно же привлекают своей компактностью и куда более приятным ценником. Но бу я бы даже не рассматривала, разве что у знакомых.
    • Vitalinka
      Честно говоря, не стоит связываться с б/у, какого бы класса оно не было. Оно всеровно уже вышло из строя или будет постоянно глючить. 
×