Rejoignez-nous sur #zone-h @ irc.eu.freenode.net
RECHERCHE
Menu principal
Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
 Attaques Francophones
 Archive des attaques
 Archive des attaques 
 Notifier defacements
Restez à l'écoute
 Inscription Listes de diffusion
Zone publique active
 T'chat IRC
 Contact
 Performances du Staff
 Le Staff de Zone-H
AVIS DE SECURITE
Ahnlab V3 Antivirus - Multiples Vulnérabilités
 
Avis de sécurité ZHFR-578
Date de publication: 16/09/2005
Auteur: Tan Chew Keong, Secunia Research
Vulnérabilités:
* Erreur de validation de la source
* Débordement de mémoire
* Directory traversal
Impacts:
* Contournement de sécurité
* Elévation de privilèges
* Accès au système
D'où: A distance
Risque: Elevé
Solution: Correctif
SE: Windows
Produit: Ahnlab V3 Antivirus
Versions affectées:
* AhnLab V3Net for Windows Server 6.x
* AhnLab V3Pro 2004 (AhnLab V3 VirusBlock 2005)

Détails:
Secunia research a découvert plusieurs vulnérabilités dans Ahnlab V3 Antivirus, celles-ci pourraient être exploitées par des utilisateurs malicieux d'un système afin d'élever leurs privilèges, ou par des personnes malicieuses afin de compromettre un système vulnérable.

  • 1. Le pilote de scan en temps réel, "v3flt2k.sys", ne valide pas la source des commandes "DeviceIoControl()". Cela pourrait être exploité par des utilisateurs non-administrateurs afin de lancer explorer.exe avec les privilèges SYSTEM, ou afin de désactiver le moteur de scan en temps réel, via des requêtes "DeviceIoControl" spécialement conçues.

  • 2. Une erreur de limitation dans la bibliothèque de décompression des archives ACE pourrait être exploitée afin de causer un débordement de mémoire (stack overflow) lors du scan d'une archive ACE contenant un fichier compressé avec un nom de fichier excessivement long.

    L'exploitation réussie de la vulnérabilité pourrait permettre l'exécution de code arbtiraire, mais requiert que le scan de fichiers compressés soit activé.

  • 3. Une erreur de type directory traversal (traversée de répertoires) dans la bibliothèque de décompression des archives pourrait être exploitée afin d'écrire des fichiers dans des répertoires arbitraires lors du scan d'une archive malicieuse contenant des fichiers compressés avec des séquences de traversées de répertoires dans leur nom de fichier.

    Les vulnérabilités ont été confirmées dans les produits suivants:
    * AhnLab V3Pro 2004 (Build 6.0.0.383)
    * AhnLab V3 VirusBlock 2005 (Build 6.0.0.383)
    * AhnLab V3Net for Windows Server 6.0 (Build 6.0.0.383)

    Solution:
    Mettre à jour vers la version 6.0.0.457 via la mise à jour en ligne.

    Références:
    http://secunia.com/advisories/15674/
    http://secunia.com/secunia_research/2005-17/advisory/ Avis original (Secunia Research)
    http://info.ahnlab.com/english/advisory/01.html Avis original (Ahnlab)

      En parler sur le forum...
      S'inscrire à la liste de diffusion...

    • Creative Commons License
    Le contenu de ce site est sous Contrat Public Creative Commons.