ZoneAlarm及Comodo防火墙本地绕过保护机制漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2007-07-30
ZoneAlarm及Comodo防火墙本地绕过保护机制漏洞 受影响系统:
Zone Labs ZoneAlarm Pro 6.1.744.001
Comodo Personal Firewall 2.3.6.81
Comodo Firewall Pro 2.4.18.184
不受影响系统:
Zone Labs ZoneAlarm Pro 6.5.737.000
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 23987

ZoneAlarm和Comodo都是非常流行的个人防火墙。

ZoneAlarm及Comodo防火墙在检测管理进程的实现上存在漏洞,本地安全者可能利用此漏洞绕过检测。

Windows操作系统使用能被4整除的整数识别进程,系统API函数的内部实现还允许程序员使用无法被4整除的整数,这意味着系统中每个运行的进程都有4个有效的标识符。结合进程标识符控制API函数仅假设标识符可被4整除并不充分,仅测试内部个人防火墙/HIPS数据库与指定的标识符之间相等还不能确保安全。在这种实现下,防火墙可能错误的解释调用,执行一些应被禁止的操作。如果安全软件以这种方式对关键进程执行保护的话,就可能导致对系统的完全控制。如果使用了无法被4整除的标识符,就可能绕过防火墙所执行的进程保护机制。

<*来源:Matousec (http://www.matousec.com/)

链接:http://marc.info/?l=bugtraq&m=117924871623161&w=2
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有安全性,仅供安全研究与教学之用。使用者风险自负!

http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00000P000ZA.zip
http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00002P005CF.zip

建议:
--------------------------------------------------------------------------------
厂商补丁:

Zone Labs
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.zonelabs.com

图片内容