发布日期：2007-06-15
更新日期：2007-06-18

受影响系统：

Kaspersky Labs Kaspersky Internet Security 6.0.2.621
Kaspersky Labs Kaspersky Internet Security 6.0.2.614

描述：

---

BUGTRAQ  ID: 24491

Kaspersky Internet Security套件是一套完整的解决方案，用于保护计算机抵御几乎所有来自互联网的主要的威胁。

Kaspersky Internet Security的驱动在HOOK系统函数的实现上存在漏洞，本地攻击者可能利用此漏洞导致系统崩溃。

Kaspersky Internet Security hook了很多SSDT中的函数，其中的NtCreateKey、NtCreateProcess、NtCreateProcessEx、NtCreateSection、NtCreateSymbolicLinkObject、NtCreateThread、NtLoadKey2、NtOpenKey、NtOpenProcess函数没有正确地验证用户态参数，如果使用无效参数调用了这些函数的话就会在klif.sys驱动中触发错误，导致系统崩溃。

<*来源：Matousec （http://www.matousec.com/）
  
  链接：http://www.matousec.com/info/advisories/Kaspersky-Multiple-insufficient-argument-validation-of-hooke
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00000P006KA.zip

建议：

---

厂商补丁：

Kaspersky Labs
--------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.kaspersky.com/

浏览次数：2942
严重程度：0（网友投票）