首页
社区
课程
招聘
[旧帖] [分享]瑞星杀毒软件曝出高危漏洞 0.00雪花
发表于: 2010-1-29 09:20 1595

[旧帖] [分享]瑞星杀毒软件曝出高危漏洞 0.00雪花

2010-1-29 09:20
1595
瑞星杀毒软件曝出高危漏洞 360紧急提供临时补丁
                 来源:360安全中心  发布日期:2010-01-29 

  1月23日,波兰安全组织NT Internals曝光瑞星杀毒软件存在两个严重漏洞。有专家称黑客利用瑞星的漏洞可以获得系统控制权,把用户的电脑变成“批量抓鸡工具”。五天后,瑞星公司发声明称这两个漏洞均已在09年5月彻底修复。但是,南京大学计算机系软件小组发现这两个漏洞仍然存在,一旦被黑客利用,将导致巨大的安全风险。

  360安全专家经过分析,发现瑞星的漏洞不仅危害瑞星用户,还可能被黑客用来攻击包括360在内的所有安全软件。考虑到瑞星未给用户提供修复工具,360安全中心为此紧急研发了临时补丁,供瑞星用户下载安装。

  据NT Internals披露,此次曝光的是两个“本地提权”0day漏洞,漏洞信息早在08年9月和09年4月即已分别报告给瑞星,但至今第一个漏洞仍然仅仅是“部分修复”,第二个漏洞则完全没有修复,随时有被黑客利用的可能,因此不得不曝光予以警示。

  南京大学软件小组在博客中表示:安全软件存在这样严重的安全漏洞非常罕见。瑞星的第二个漏洞不但完全没有修复,利用方式也非常简单,可以使黑客获得系统最高权限,让用户电脑以及政府机构和企业的内网完全丧失防御能力。而第一个漏洞尽管被部分修复,黑客仍可以将存在漏洞的瑞星驱动文件提取出来,用来“武装”自己制作的木马,以突破其它安全软件的防御(安全软件通常都会放行带瑞星数字签名的驱动文件),所以即便没有安装瑞星的电脑也有可能因为这个漏洞而遭殃。

  360安全专家表示,360的验证结果与NT Internals和南京大学软件小组完全一致。360工程师测试后发现,这两个漏洞至少影响瑞星杀毒软件的2008、2009、2010三个主要版本,可以被用来突破、关闭所有安防系统。目前国外安全论坛上已出现针对瑞星漏洞的攻击代码,按以往规律,一旦攻击代码大面积扩散,针对瑞星用户的大规模攻击随时可能爆发。

  360安全中心表示,360研发的临时补丁可以修复瑞星的漏洞,并可以为瑞星公司提供相应的技术支持。在瑞星彻底修复这两个漏洞并对所有用户进行升级之前,360安全专家建议瑞星用户尽快采取以下两种措施:

  一、立即下载安装360公司提供的临时补丁。(到这里下载补丁)

  二、或临时卸载瑞星杀毒软件,等瑞星公司提供官方补丁后,再重新安装。在此期间可先使用其它杀软,或者用永久免费的360杀毒。(点击下载360杀毒)

  NT Internals披露瑞星杀毒漏洞1:

  http://www.NTInternals.org/ntiadv0805/ntiadv0805.html

  NT Internals披露瑞星杀毒漏洞2:

  http://www.NTInternals.org/ntiadv0902/ntiadv0902.html

  瑞星公司声明:《关于瑞星0day漏洞的说明》:

  http://www.rising.com.cn/about/news/rising/2010-01-28/6530.html

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 85
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
Advisory NTIADV0902 (Accelerated Disclosure)
RISING Antivirus 2008/2009/2010 Privilege Escalation Vulnerability
Vendor Beijing Rising International Software Co.,Ltd.
Affected Software RISING Antivirus 2008/2009/2010
Affected Driver RsNTGDI - RsNTGdi.sys
Date Reported 2009-04-20
Release Date 2010-01-23
Status Not fixed
Exploit RsNTGdi_Exp.zip - Local Privilege Escalation Exploit
Disclosure Timeline 2009-04-20 - Vulnerability reported to vendor
2009-04-21 - Vendor response
2010-01-23 - Full technical details released to general public
Description
Kernel module (RsNTGdi.sys) shipped with RISING Antivirus 2008/2009/2010 contains vulnerabilities in the code that handles IOCTL requests. Local exploitation of multiple vulnerabilities allow an attacker to execute arbitrary code in kernel context. All users can obtain handle of unprotected device "\\Device\\RSNTGDI" and exploit vulnerable function handling IOCTL requests.

                .text:0001036E ; int __stdcall DispatchControl(int DeviceObject, PIRP Irp)
                .text:0001036E DispatchControl proc near
                .text:0001036E
                .text:0001036E NtStatus = dword ptr -4
                .text:0001036E DeviceObject = dword ptr 8
                .text:0001036E Irp = dword ptr 0Ch
                .text:0001036E
                .text:0001036E                 push    ebp
                .text:0001036F                 mov     ebp, esp
                .text:00010371                 push    ecx
                .text:00010372                 push    ebx
                .text:00010373                 push    esi
                .text:00010374                 mov     esi, [ebp+Irp]
                .text:00010377                 and     [ebp+NtStatus], 0
                .text:0001037B                 push    edi
                .text:0001037C                 mov     ecx, [esi+60h]
                .text:0001037F                 and     dword ptr [esi+1Ch], 0
                .text:00010383                 mov     edi, [esi+3Ch]
                .text:00010386                 mov     eax, [ecx+10h]
                .text:00010389                 mov     edx, [ecx+8]
                .text:0001038C                 mov     ebx, [ecx+4]
                .text:0001038F                 mov     ecx, [ecx+0Ch]
                .text:00010392                 cmp     ecx, 83003C03h
                .text:00010398                 mov     [ebp+Irp], ebx
                .text:0001039B                 jz      @@ioctl_83003C03
                .text:000103A1                 cmp     ecx, 83003C07h
                .text:000103A7                 jz      @@ioctl_83003C07
                .text:000103AD                 cmp     ecx, 83003C0Bh
                .text:000103B3                 jz      @@ioctl_83003C0B
                .text:000103B9                 cmp     ecx, 83003C0Fh
                .text:000103BF                 jz      short @@ioctl_83003C0F
                .text:000103C1                 cmp     ecx, 83003C13h
                .text:000103C7                 jz      short @@ioctl_83003C13
                .text:000103C9                 cmp     ecx, 83003C17h
                .text:000103CF                 jz      short @@ioctl_83003C17
                .text:000103D1                 mov     [ebp+NtStatus], 0C000000Dh
                .text:000103D8                 jmp     @@complete_request
                ...
                .text:00010458 @@ioctl_83003C0B:
                .text:00010458                 push    4
                .text:0001045A                 pop     ebx
                .text:0001045B                 cmp     edx, ebx
                .text:0001045D                 jb      short @@complete_request
                .text:0001045F                 cmp     [ebp+Irp], ebx
                .text:00010462                 jb      short @@complete_request
                .text:00010464                 push    dword ptr [eax]
                .text:00010466                 call    VidSetTextColor
                .text:0001046B                 mov     [edi], eax
                .text:0001046D                 mov     [esi+1Ch], ebx
                .text:00010470                 jmp     short @@complete_request
                ...
2010-1-29 09:26
0
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3

瑞星不厚道
2010-1-29 09:37
0
雪    币: 296
活跃值: (76)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
从不用瑞星,所以对这个新闻不感冒
2010-1-29 09:43
0
雪    币: 66
活跃值: (26)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
[QUOTE=keyword;753762]360安全中心表示,360研发的临时补丁可以修复瑞星的漏洞,并可以为瑞星公司提供相应的技术支持。[/QUOTE]
这句话对瑞星可是狠狠的打击!
2010-1-29 10:20
0
雪    币: 292
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
DispatchControl,学习了
2010-1-29 11:49
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
当初中木马, 那时安装的就是瑞星......
从此,我宁愿不安杀软,也不安瑞星
2010-1-29 11:56
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
8
连exploit都已经出来了
2010-1-29 12:32
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我一直用金山,换不错
2010-1-29 13:10
0
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
话说回来
我一直用瑞星的免费版
免费的杀毒软件 像瑞星级别的又有多少呢
2010-1-29 13:24
0
游客
登录 | 注册 方可回帖
返回
//