卡巴斯基6.0-7.0通用漏洞 可使系统崩溃

6月4日，国外著名Rootkit研究站点rootkit.com上发表了一篇文章: "Exploiting Kaspersky Antivirus 6.0-7.0" 作者为EP_XOFF/UG North,是著名的反Rootkit工具Rootkit Unhooker,Process walker的开发者 文章中作者声称，卡巴斯基反病毒软件从6.0到目前最新的7.0版中始终存在这一个严重的漏洞 该漏洞最早由MS-Rem发现，安装了卡巴斯基反病毒软件后，任何具有最低用户权限的用户也可以使系统蓝屏崩溃 该漏洞主要存在与卡巴斯基反病毒软件用于挂钩 SSDT NtOpenProcess的代码中 该段代码用于阻止其他程序打开卡巴斯基的自身进程，以达到自我保护的目的 在该函数中，卡巴斯基反病毒软件的驱动程序没有对用户传入的参数做严格检查，导致只要在调用NtOpenProcess时传入错误的参数，即可使系统访问错误的内核地址，从而导致系统蓝屏崩溃。

作者声称他们早在数年前就发现了该漏洞并提交给卡巴斯基，但是被卡巴斯基忽略了 另外，卡巴斯基在新版中加入了异常处理机制来试图解决这一问题， 作者称这是无法完全解决问题的，显然卡巴斯基的开发人员根本不知道使用一个非常简单的函数：MMIsADDRessValid就可以解决这个问题 另外作者称，同样的漏洞还存在与卡巴斯基挂钩的多个函数中，包括

NtCreateKey NtCreateProcess

NtCreateProcessEx

NtCreateSection

NtCreateSymbolicLinkObject

NtCreateThread

NtDeleteValueKey

NtOpenKey

NtLoadKey2

NtOpenSection

NtQueryValueKey 所有这些函数都是有问题的，

http://www.rootkit.com/newsread.php?newsid=726 (英文，且技术细节较多，不愿意看的可以略过） 下

面这个网址介绍了关于卡巴斯基的漏洞及错误之处 包括

Patching system services at runtime

Improper Validation of User-mode Pointers

Hiding Threads from User-mode

Improper Validation of Kernel Object Types

Patching non-exported, non-system-service kernel functions

Allowing User-mode Code to Access Kernel Memory 等等

关键词：

【推荐给好友】【关闭】

最新五条评论

查看全部评论

评论总数 0 条

您的评论

用户名： （新注册） 密　码： 匿名：

·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有