受影响系统:
Zone Labs ZoneAlarm Pro 6.1.744.001
Comodo Personal Firewall 2.3.6.81
Comodo Firewall Pro 2.4.18.184
不受影响系统:
Zone Labs ZoneAlarm Pro 6.5.737.000
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 23987
ZoneAlarm和Comodo都是非常流行的个人防火墙。
ZoneAlarm及Comodo防火墙在检测管理进程的实现上存在漏洞,本地攻击者可能利用此漏洞绕过检测。
Windows操作系统使用能被4整除的整数识别进程,系统API函数的内部实现还允许程序员使用无法被4整除的整数,这意味着系统中每个运行的进程都有4个有效的标识符。结合进程标识符控制API函数仅假设标识符可被4整除并不充分,仅测试内部个人防火墙/HIPS数据库与指定的标识符之间相等还不能确保安全。在这种实现下,防火墙可能错误的解释调用,执行一些应被禁止的操作。如果安全软件以这种方式对关键进程执行保护的话,就可能导致对系统的完全控制。如果使用了无法被4整除的标识符,就可能绕过防火墙所执行的进程保护机制。
< *来源:matousec (http://www.matousec.com/)
链接:http://marc.info/?l=bugtraq&m=117924871623161&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00000P000ZA.zip
http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00002P005CF.zip
建议:
--------------------------------------------------------------------------------
厂商补丁:
Zone Labs
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.zonelabs.com
Comodo
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.comodogroup.com/
| 
