漏洞信息详情
AhnLab V3 ZIP文件解析内存破坏漏洞
- CNNVD编号:CNNVD-200711-286
- 危害等级: 超危
- CVE编号: CVE-2007-6060
- 漏洞类型: 输入验证
- 发布时间: 2007-11-20
- 威胁类型: 远程
- 更新时间: 2007-11-21
- 厂 商: ahnlab
- 漏洞来源: Sowhat smaillist@g...
漏洞简介
AhnLab V3是韩国安博士公司开发的系列杀毒产品。
AhnLab V3杀毒引擎在解析.ZIP文件时没有正确地检查某些字段的值,这可能导致远程内核内存破坏。
ZIP文件头格式如下:
偏移 长度 内容
0 4 bytes Local file header signature (0x04034b50)
4 2 bytes Version needed to extract
6 2 bytes General purpose bit flag
8 2 bytes Compression method
10 2 bytes Last mod file time
12 2 bytes Last mod file date
14 4 bytes CRC-32
18 4 bytes Compressed size (n)
22 4 bytes Uncompressed size
26 2 bytes Filename length (f)
28 2 bytes Extra field length (e)
(f)bytes Filename
(e)bytes Extra field
(n)bytes Compressed data
在26(0x1a)偏移处为文件名长度。AhnLab AV会拷贝文件名并在末尾添加空字节,但根据从0x1a偏移所读取的WORD值存储空字节。
kd> r
eax=0000dddd ebx=8162f340 ecx=e1dade60 edx=e1dac060 esi=815a54f8 edi=e1dac054
eip=f72df075 esp=f8063834 ebp=f8063848 iopl=0 nv up ei pl zr na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246
v3engine+0xb4075:
f72df075 c6040100 mov byte ptr [ecx+eax],0
AX是直接从zip文件读取的,因此受攻击者控制,这就导致了有限的用空字节覆盖任意内存地址。如果AhnLab启用了实时保护的话(默认配置),就可能触发内核内存破坏,导致蓝屏死机或执行内核态代码。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
www.ahnlab.com
参考网址
来源: BID
名称: 26473
链接:http://www.securityfocus.com/bid/26473
来源: BUGTRAQ
名称: 20071116 AhnLab AntiVirus Remote Kernel Memory Corruption
链接:http://www.securityfocus.com/archive/1/archive/1/483799/100/0/threaded
来源: MISC
链接:http://secway.org/advisory/AD20071116.txt
来源: OSVDB
名称: 42352
链接:http://osvdb.org/42352
来源: XF
名称: ahnlab-antivirus-zip-code-execution(38514)
链接:http://xforce.iss.net/xforce/xfdb/38514
来源: SECTRACK
名称: 1018977
链接:http://www.securitytracker.com/id?1018977
来源: VUPEN
名称: ADV-2007-3983
链接:http://www.frsirt.com/english/advisories/2007/3983
来源: SREASON
名称: 3382
链接:http://securityreason.com/securityalert/3382
来源: SECUNIA
名称: 27757
链接:http://secunia.com/advisories/27757
来源: global.ahnlab.com
链接:http://global.ahnlab.com/global/notice_view.ESD?fmethod=view&press_seq=803&printNum=2
受影响实体
- Ahnlab V3_internet_security:2008:Platinum
补丁
暂无
评论