Антивирусный движок spanend Micro пропускает хакеров в ядро системы

Антивирусный движок Scan Engine, используемый во всех антивирусах spanend Micro, подвержен уязвимости к переполнению буфера, которая позволяет атакующему с локальной машины выполнить произвольный код с привилегиями ядра Windows.

Уязвимость была обнаружена специалистами iDefense в драйвере DOS-устройства \\.\Tmfilter, Tmxpflt.sys, доступ на запись к которому открыт любому локальному пользователю. Само по себе это не приводит к уязвимости, но драйвер не проверяет граничных значений некоторых переданных параметров в некоторых функциях и копирует параметр целиком в область памяти фиксированной длины. В результате возникает переполнение, перекрывающее другие структуры данных. Специально сконструированный параметр позволяет перехватить управление и выполнить произвольный машинный код в контексте ядра.

Уязвимы движки версий 8.320.1004 и 8.500.1002, используемые в PC-Cillin Internet Security 2007, Client Server Messaging Security for SMB 3.6, Client Server Security for SMB 3.6, OfficeScan 7 и 8, а также в ServerProtect для Microsoft Windows и Novell NetWare 5.58.

spanend Micro представила обновленную версию движка, 8.550-1001, которая поступит по системе автообновления (ActiveUpdate) 30 октября 2007 г.