受影响系统:
Zone Labs ZoneAlarm Pro 6.1.744.001
Comodo Personal Firewall 2.3.6.81
Comodo Firewall Pro 2.4.18.184
不受影响系统:
Zone Labs ZoneAlarm Pro 6.5.737.000
描述:
ZoneAlarm和Comodo都是个人防火墙。
ZoneAlarm及Comodo防火墙在检测管理进程的实现上存在漏洞,本地攻击者可能利用此漏洞绕过检测。
Windows操作系统使用能被4整除的整数识别进程,系统API函数的内部实现还允许程序员使用无法被4整除的整数,这意味着系统中每个运行的进程都有4个有效的标识符。结合进程标识符控制API函数仅假设标识符可被4整除并不充分,仅测试内部个人防火墙/HIPS数据库与指定的标识符之间相等还不能确保安全。在这种实现下,防火墙可能错误的解释调用,执行一些应被禁止的操作。如果安全软件以这种方式对关键进程执行保护的话,就可能导致对系统的完全控制。如果使用了无法被4整除的标识符,就可能绕过防火墙所执行的进程保护机制。
厂商补丁:
Zone Labs
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.zonelabs.com
Comodo
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.comodogroup.com/
