[es] - Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

Dashkes

Član broj: 90973
Poruke: 845

+27 Profil

Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

^{22.12.2011. u 19:03 - pre 150 meseci}

Vulnerability-Lab Team discovered a Memory & Pointer Corruption Vulnerability on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012. A Memory Corruption vulnerability is detected on Kaspersky Internet Security 2011/2012 & Kaspersky Anti-Virus 2011/2012.

The vulnerability is caused by an invalid pointer corruption when processing a corrupt .cfg file through the kaspersky exception filters,which could be exploited by attackers to crash he complete software process.

The bug is located over the basegui.ppl & basegui.dll when processing a .cfg file import.
Affected Version(s):
Kaspersky Anti-Virus 2012 & Kaspersky Internet Security 2012
KIS 2012 v12.0.0.374
KAV 2012 v12.x
Kaspersky Anti-Virus 2011 & Kaspersky Internet Security 2011
KIS 2011 v11.0.0.232 (a.b)
KAV 11.0.0.400
KIS 2011 v12.0.0.374
Kaspersky Anti-Virus 2010 & Kaspersky Internet Security 2010

The kaspersky .cfg file import exception-handling filters wrong or manipulated file imports like one this first test ... (wrong-way.png). The PoC is not affected by the import exception-handling & get through without any problems. A invalid pointer write & read allows an local attacker to crash the software via memory corruption. The technic & software to detect the bug in the binary is private tool.

TheHackerNews

Aleksandar Maletic
System administrator

Moderator
Član broj: 235887
Poruke: 1138
77.243.20.*

+89 Profil

Re: Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

^{22.12.2011. u 21:40 - pre 150 meseci}

I od kralja ima veći kralj.

A wolf is weaker than a lion and a tiger, but doesn't play in the circus.

Dashkes

Član broj: 90973
Poruke: 845

+27 Profil

Re: Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

^{23.12.2011. u 03:12 - pre 150 meseci}

Citat:

Aleksandar Maletic: I od kralja ima veći kralj. :D

Baš tako. :)

Goran Mijailovic

Član broj: 12684
Poruke: 6907

+437 Profil

Re: Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

^{23.12.2011. u 09:37 - pre 150 meseci}

Dva loša ubiše Miloša :(

Citat:

Aleksandar Maletic: I od kralja ima veći kralj. :D

Da, pod admin nalogom ću i ovaj Windows da sredim očas posla.

Dashkes

Član broj: 90973
Poruke: 845

+27 Profil

Re: Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

^{23.12.2011. u 22:39 - pre 150 meseci}

Citat:

Goran Mijailovic: Dva loša ubiše Miloša :(

Da, pod admin nalogom ću i ovaj Windows da sredim očas posla.

Ma dobro Gorane, šalimo se samo. :)

espresso
Beograd

Član broj: 31423
Poruke: 1758

+181 Profil

Re: Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

^{24.12.2011. u 09:30 - pre 149 meseci}

Čoveče, ovo je puno rupa. U radu sa KIS2012, provalio sam da ima bagova koje još uvek nisu sredili pa me uopšte ni ne čudi ovo. Recimo, ako se igrate sa podešavanjima za imejl notifikaciju i isprobavate da li radi, posle nekog vremena KIS nabije 100% procesora i ne vredi ništa dok se ne restartuje. To sam probao na dva računara. Ima još jedna stvar kada u "application control" nekada neće da zapamti podešavanja, isto potvrđeno na više računara.

I šta kažu, jesu li sredili ove propuste?

Goran Mijailovic

Član broj: 12684
Poruke: 6907

+437 Profil

Re: Kaspersky IS&AV 2011/12 - Memory Corruption Vulnerability

^{24.12.2011. u 11:53 - pre 149 meseci}

Ne znam, znam samo da sam koristio KIS 2011 godinu dana bez ikakvog problema, zatim sam koristio tri meseca KIS 2012 trial verziju i sad ponovo koristim KIS 2012 licenciranu verziju bez problema. Takođe se sećam kad je KIS 2011 izašao kako je ovde pisano da treba sačekati da isprave "bagove" međutim meni je licenca tekla tako da sam ga ja koristio odmah :O)

EDIT:
U međuvremenu sam isprobao Vipre 2012, Avira IS 2012, Trustport, Trend Micro 2011/2012 i možda još neki AV i niti jedan nije našao neki problem posle korišćenja KIS 2012.