发布日期：2008-09-18
更新日期：2008-09-22

受影响系统：

G DATA Internet Security 2008
G DATA AntiVirus 2008
G DATA TotalCare 2008

描述：

---

BUGTRAQ  ID: 31246

G DATA是德国的一家杀毒软件厂商。

G DATA产品所使用的GDTdiIcpt.sys内核驱动在处理IOCTL请求时存在错误，本地攻击者可以利用这个漏洞导致拒绝服务或执行任意内核级代码。

GDTdiIcpt.sys驱动未经验证便接受了用户提供的IOCTL 0x8317001c调用，这样就可以用任意值填充不同的内核寄存器。之后这些寄存器值被用作了内核函数的参数，因此特制参数可能完全控制Windows内核的执行流。

以下是GDTdiIcpt.sys的反汇编（Windows Vista 32位版）：

[...]
.text:00012510 cmp [ebp+arg_18], 8317001Ch
[...]
.text:0001251D mov ebx, [ebp+arg_10] <-- [1]
.text:00012520 mov esi, [ebp+arg_8]
.text:00012523 push 7
.text:00012525 pop ecx
.text:00012526 mov edi, ebx
.text:00012528 rep movsd
.text:0001252A movsb
.text:0001252B test byte ptr [ebx+2], 8
.text:0001252F jnz short loc_12598
[...]

[1] 未经任何验证便将用户输入拷贝到了EBX寄存器。

<*来源：Tobias Klein
  
  链接：http://secunia.com/advisories/31941/
        http://www.trapkit.de/advisories/TKADV2008-008.txt
*>

建议：

---

厂商补丁：

G DATA
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.gdata.de/portal/DE/

浏览次数：2363
严重程度：0（网友投票）