24 września 2007

Błędne przetwarzanie danych w sterowniku klif.sys

12 września 2007 r. serwis Rootkit.com opublikował raport dotyczący dwóch luk wpływających na działanie programów Kaspersky Lab przeznaczonych dla systemów MS Windows (zobacz raport).

Już nie po raz pierwszy autor ten nie poinformował nas o lukach przed upublicznieniem tej informacji, mimo że taka procedura jest rynkowym standardem.

Artykuł opisuje następujące luki:

  1. Brak funkcji kontrolowania danych w obrębie sterownika klif.sys może doprowadzić do wystąpienia krytycznego błędu systemowego (BSOD) podczas lokalnego uruchamiania szkodliwego kodu.

    Kaspersky Lab nie traktuje tej luki jako krytycznej, ponieważ nie daje ona żadnych korzyści twórcom szkodliwego oprogramowania. Wykorzystanie tej luki nie jest możliwe ze zdalnego komputera ani też nie umożliwia uzyskania przez cyberprzestępcę wyższych uprawnień. Kod, w którym wykryto lukę jest przeterminowany - nie jest już wykorzystywany do ochrony komputerów - i dlatego zostanie usunięty z wszystkich produktów Kaspersky Lab.

    Błąd przetwarzania danych w sterowniku klif.sys zostanie usunięty w uaktualnieniu produktów Kaspersky Lab, które pojawi się w listopadzie 2007.

  2. Wywołanie procedury DuplicateHandle dla wątku silnika antywirusowego umożliwia jego wstrzymanie.

    Kaspersky Lab nie traktuje tej możliwości jako luki: nie jest to błąd w kodzie, lecz metoda pozwalająca na manipulowanie standardowymi procedurami systemu Windows w celu ominięcia mechanizmu autoochrony wykorzystywanego w naszych produktach. Według jednego z najnowszych testów, nasze mechanizmy autoochrony są jednymi z najlepszych na rynku.