AhnLab V3 ZIP文件解析内存破坏漏洞

admin

0
文章

0
评论

2022-07-19 09:57:08 CNNVD漏洞来源：ZONE.CI 全球网 0 阅读模式

漏洞信息详情

AhnLab V3 ZIP文件解析内存破坏漏洞

CNNVD编号：CNNVD-200711-286
危害等级：超危
CVE编号： CVE-2007-6060
漏洞类型：输入验证
发布时间： 2007-11-20
威胁类型：远程
更新时间： 2007-11-21
厂商： ahnlab
漏洞来源： Sowhat smaillist@g...

漏洞简介

AhnLab V3是韩国安博士公司开发的系列杀毒产品。

AhnLab V3杀毒引擎在解析.ZIP文件时没有正确地检查某些字段的值，这可能导致远程内核内存破坏。

ZIP文件头格式如下：

偏移长度内容

0 4 bytes Local file header signature (0x04034b50)

4 2 bytes Version needed to extract

6 2 bytes General purpose bit flag

8 2 bytes Compression method

10 2 bytes Last mod file time

12 2 bytes Last mod file date

14 4 bytes CRC-32

18 4 bytes Compressed size (n)

22 4 bytes Uncompressed size

26 2 bytes Filename length (f)

28 2 bytes Extra field length (e)

(f)bytes Filename

(e)bytes Extra field

(n)bytes Compressed data

在26(0x1a)偏移处为文件名长度。AhnLab AV会拷贝文件名并在末尾添加空字节，但根据从0x1a偏移所读取的WORD值存储空字节。

kd＞ r

eax=0000dddd ebx=8162f340 ecx=e1dade60 edx=e1dac060 esi=815a54f8 edi=e1dac054

eip=f72df075 esp=f8063834 ebp=f8063848 iopl=0 nv up ei pl zr na pe nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246

v3engine+0xb4075：

f72df075 c6040100 mov byte ptr [ecx+eax],0

AX是直接从zip文件读取的，因此受攻击者控制，这就导致了有限的用空字节覆盖任意内存地址。如果AhnLab启用了实时保护的话(默认配置)，就可能触发内核内存破坏，导致蓝屏死机或执行内核态代码。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

www.ahnlab.com

参考网址

来源: BID

名称: 26473

链接:http://www.securityfocus.com/bid/26473

来源: BUGTRAQ

名称: 20071116 AhnLab AntiVirus Remote Kernel Memory Corruption

链接:http://www.securityfocus.com/archive/1/archive/1/483799/100/0/threaded

来源: MISC

链接:http://secway.org/advisory/AD20071116.txt

来源: OSVDB

名称: 42352

链接:http://osvdb.org/42352

来源: XF

名称: ahnlab-antivirus-zip-code-execution(38514)

链接:http://xforce.iss.net/xforce/xfdb/38514

来源: SECTRACK

名称: 1018977

链接:http://www.securitytracker.com/id?1018977

来源: VUPEN

名称: ADV-2007-3983

链接:http://www.frsirt.com/english/advisories/2007/3983

来源: SREASON

名称: 3382

链接:http://securityreason.com/securityalert/3382

来源: SECUNIA

名称: 27757

链接:http://secunia.com/advisories/27757

来源: global.ahnlab.com

链接:http://global.ahnlab.com/global/notice_view.ESD?fmethod=view&press_seq=803&printNum=2

受影响实体

Ahnlab V3_internet_security:2008:Platinum

补丁

暂无

特别声明

本站(ZONE.CI)所有文章仅供技术研究，若将其信息做其他用途，由用户承担全部法律及连带责任，本站不承担任何法律及连带责任，请遵守中华人民共和国安全法.

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

咨询加Q：999999999

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

AhnLab V3 ZIP文件解析内存破坏漏洞

漏洞信息详情

AhnLab V3 ZIP文件解析内存破坏漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

补丁

AhnLab V3 ZIP文件解析内存破坏漏洞

IBM DB2 UD 内存崩溃漏洞

PHP httpd.conf保护机制绕过安全漏洞

ngIRCd irc-channel.c 拒绝服务漏洞

ClamAV e-mail 未明远程代码执行漏洞

Aleris Web Publishing Server Page.ASP SQL注入漏洞

ComponentOne FlexGrid ActiveX控件多个栈溢出漏洞

Invensys Wonderware InTouch NetDDE 共享特权升级漏洞

Wordpress Cookie绕过认证漏洞

wpa_supplicant Drivers driver_wext.c 栈缓冲区溢出漏洞

ZONE.CI 全球网