赛迪网 > IT技术 网络管理 > 最新更新
  IT资讯搜索
 
IT产品搜索
[程序开发][网管世界][网络安全][数据库技术]
[操作系统][嘉宾聊天·在线访谈][活动集锦]
[精彩专题][Symantec专区][订阅IT技术周刊]
[开发论坛][网管论坛][安全论坛][数据库论坛]
[操作系统论坛][Sybase专区][IBM dW技术专区]
[病毒求助][病毒与漏洞播报][文档·源码下载]

熊猫卫士2008 CPoint.sys发现内存破坏漏洞

发布时间:2008.03.13 04:52     来源:绿盟科技    作者:kill

发布日期:2008-03-08

更新日期:2008-03-10

受影响系统:

Panda Internet Security 2008

Panda Antivirus+Firewall 2008

描述:

BUGTRAQ ID: 28150

熊猫卫士是熊猫系列杀毒软件,支持对多种文件格式进行病毒分析。

多个熊猫系列杀毒软件所捆绑的cpoint.sys内核驱动中处理IOCTL请求的代码存在漏洞,本地攻击者可能利用此漏洞提升权限。

该驱动的0xba002848 IOCTL调用未经充分验证便接受了用户提供的输入,导致越界写入内核内存。

cpoint.sys的反汇编(Windows Vista 32位版):

[...]

.text:00012633 loc_12633:

.text:00012633 mov edx, 0BA002848h <-- (1)

.text:00012638 cmp ecx, edx

.text:0001263A ja loc_12946

[...]

.text:00012640 jz loc_128BE

[...]

.text:000128BE loc_128BE:

.text:000128BE cmp [ebp+IOCTL_INPUT_SIZE], 1008h <-- (2)

.text:000128C5 jb loc_12A7D

[...]

.text:000128CB mov esi, [ebp+IOCTL_INPUT_DATA] <-- (3)

.text:000128CE cmp dword ptr [esi], 3F256B9Ah <-- (4)

.text:000128D4 jnz loc_12A7D

[...]

.text:000128FF xor eax, eax

.text:00012901 cmp [esi+8], eax <-- (5)

.text:00012904 jbe short loc_1291B

[...]

(1) 有漏洞的IOCTL调用

(2) IOCTL输入大小检查

(3) 用户提供的数据拷贝到了esi

(4) + (5) 次要的输入数据检查

从这时其有两条不同的漏洞代码路径,如下所述:

漏洞代码路径1:

[...]

.text:00012906 lea ecx, [esi+0Ch] <-- (6)

[...]

.text:00012909 loc_12909:

.text:00012909 mov edx, [ecx] <-- (7)

.text:0001290B mov OVERWRITTEN_DATA[eax*4], edx <-- (8)

.text:00012912 inc eax

.text:00012913 add ecx, 4

.text:00012916 cmp eax, [esi+8] <-- (9)

.text:00012919 jb short loc_12909

[...]

(6) 一些用户控制的数据拷贝到了ecx

(7) 用户控制数据拷贝到了edx

(8) 在OVERWRITTEN_DATA内存位置拷贝用户控制数据

(9) 用户可控拷贝数据大小

这可能导致越界写入内核内存。

漏洞代码路径2:

[...]

.text:0001291B loc_1291B:

.text:0001291B xor eax, eax

.text:0001291D cmp [esi+10Ch], eax <-- (10)

.text:00012923 jbe loc_129B4

[...]

.text:00012929 lea ecx, [esi+110h] <-- (11)

[...]

.text:0001292F loc_1292F:

.text:0001292F mov edx, [ecx] <-- (12)

.text:00012931 mov OVERWRITTEN_DATA2[eax*4], edx <-- (13)

.text:00012938 inc eax

.text:00012939 add ecx, 4

.text:0001293C cmp eax, [esi+10Ch] <-- (14)

.text:00012942 jb short loc_1292F

[...]

(10) 用户控制数据的次要检查

(11) 一些用户控制的数据拷贝到了ecx

(12) 用户控制数据拷贝到了edx

(13) 在OVERWRITTEN_DATA2内存位置拷贝用户控制的数据

(14) 用户可控拷贝数据的大小

这可能导致越界写入内核内存。

上述两种情况都可以将任意数量的用户控制数据写入到内核内存。由于所覆盖的数据属于cpoint.sys内核驱动的数据部分,因此可以控制临近的数据结构(如某些KEVENT结构)。如果用特制的内存覆盖这些结构,就可以强制内核执行内存破坏,导致完全控制内核执行流。

Panda:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.pandasecurity.com/resources/sop/PAVF08/hft70801s1.exe

http://www.pandasecurity.com/resources/sop/Platinum2008/hfp120801s1.exe

(责任编辑:高爽)


[ 发表评论 ] 字体[  ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ]  [ 推荐给朋友 ]
  相关文章
· FreeBSD user-ppp协议实现本地栈溢出漏洞 (03-12) · Microsoft IE JavaScript及XML组合信息漏洞 (03-12)
· MicroWorld eScan Server 目录遍历漏洞 (03-11) · Microsoft IE JavaScript及XML组合信息漏洞 (03-11)
· Web应用安全系列:用WVS实施漏洞扫描(图) (03-11) · Sun Java运行时环境图形解析堆溢出漏洞 (03-10)
· Gnome Evolution加密消息格式串处理漏洞 (03-10) · 菜鸟需知:Windows系统漏洞对系统的危害 (03-09)
· Livebox TP路由器远程溢出拒绝服务漏洞 (03-07) · Adobe Acrobat Reader acroread不安全漏洞 (03-07)
  客户需求反馈表
* 姓  名:
更多资料  了解方案  认识厂商
* 单位名称:
* 联系电话:
* 电子邮件:
  赛迪推荐  
  手机·资费 ·新品·导购·评测·手机资费·宽带
手机搜索  诺基亚 N73 MOTO Z6
  IT产品 ·笔记本·台式机·服务器·打印·投影
IT产品搜索 
  IT技术 ·开发·网管·安全·数据库·操作系统
  信息化 ·热点·专题·访谈·周刊·方案案例
· 移动信息化市场方兴未艾 企业呼唤标准出台
· 如何把握企业价值差异 避免CRM与SCM脱节
· 齐看四大厂商的SaaS动态 ERP案例分析
· 通方期货CRM解决方案 方正电子公文系统
  IT博客 ·曾剑秋·项立刚·Java学习·网管
  IT技术论坛 ·开发·网管·安全·数据库·系统