10:45
25/2/2010

Korzystacie z Avasta? Mamy dobrą i złą wiadomość

Autor: vi.curry | Tagi:  

Jeśli macie antywirusa Avasta na swoim prywatnym komputerze — mamy dla was złą wiadomość. Błąd jest, komputery zawiesza. Ale jeśli tylko macie Avasta na firmowym laptopie, na którym dział IT zablokował możliwość zalogowania się na konto administratora — to mamy dla was dobrą wiadomość. Błąd jest, da wam prawa admina ;)

Avast i nadpisanie pamięci kernela

Bład występuje w wersjach 4.8 (<=4.8.1368.0) i 5.0 (< 5.0.418.0), ale niewykluczone, że inne wydania Avasta Home i Professional także mogą być podatne na atak. Jak pisze odkrywca luki, Tobias Klein, błąd znajduje się w sterowniku aavmker4.sys odpowiedzialnym za interpretację żądań IOCTL (taki interface user-kernel). Po przesłaniu odpowiednio zmodyfikowanego żądania IOCTL, atakujący jest w stanie nadpisać obszar pamięci jądra i w konsekwencji wykonać:

  1. lokalny DoS (kernel panic i zawieszenie systemu)
  2. lokalne wykonanie dowlonego kodu na poziomie kernela systemu (pwnd!)

Do uruchomienia kodu exploita nie potrzeba żadnych specjalnych praw, ale potrzeba exploita, a ten nie został opublikowany. Są natomiast dostępne dość szczegółowe techniczne wskazówki, jak sobie exploita napisać. Można się więc spodziewać, że na dniach coś niedobrego dla Avasta pojawi się na horyzoncie…

Rozwiązanie problemu

Tak więc użytkownikom domowym i działom IT sugerujemy szybką aktualizację do Avasta 5.0.418 — a pracownikom z firmowymi laptopami …nie powiemy co sugerujemy, bo nie chcemy, żeby <baczność!>zawsze czujny dział prawny Allegro</spocznij!> znów przesyłał nam e-maile, w których się “wydaje się” ;->

Jak zawsze po zainstalowaniu nowego antywirusa, sugerujemy sprawdzenie jego bezpieczeństwa poprzez wykonanie testu skuteczności.

Przeczytaj także:

 
Niebezpiecznik

7 komentarzy

Dodaj komentarz
  1. nvh 2010.02.25 11:48 | # | Reply

    Brakuje mi tu istotnej informacji – które systemy są podatne. Z opisu działania wnioskuję, że.. wszystkie?

  2. sickie 2010.02.25 12:08 | # | Reply

    Z pewnością nie te, które posiadają NODa… bo nie ma w nich A(h)vasta ;)

  3. aqz 2010.02.25 12:14 | # | Reply

    O co chodzi z tym działem prawnym Allegro?

  4. miXer 2010.02.25 12:27 | # | Reply

    @aqz
    przeczytaj trzy posty nizej, https://niebezpiecznik.pl/post/bledy-w-wp-pl-i-o2-pl-pozwalaja-na-podsluchanie-hasla-do-poczty/ Jakis prawnik allegro nie do konca zrozumial co to jest kradziez ciastek i mial do chlopakow pretensje o zdanie “sprawdzenie czy kradziez ciastek jest mozliwa w przypadku allegro pozostawiam czytelnikom jako prace domowa” a dodatkowo niezbyt zgrabnie ubral w slowa to co chcial przekazac ;]]

  5. hcsl.pl 2010.02.25 13:24 | # | Reply

    Bez samego exploitu nie ma zabawy… chyba, że komuś chce się pobawić? No ale pewnie już niedługo znajdzie się coś w Metasploit Framework :).

  6. Tomasz Kowalczyk 2010.02.25 15:08 | # | Reply

    Na szczęście zawsze instaluję wszystkie aktualizacje a Avast nie przepuścił nic u mnie przez ponad 5 lat, tak więc daje radę. ;]

  7. juh 2010.02.25 17:10 | # | Reply

    raczej nie wiesz ze cos przepuscil ;)

Odpowiadasz na komentarz Tomasz Kowalczyk

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: