发布日期：2007-07-09
更新日期：2007-07-10

受影响系统：

WinPcap WinPcap 4.0

不受影响系统：

WinPcap WinPcap 4.0.1

描述：

---

BUGTRAQ  ID: 24829

WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。

WinPcap的NPF.SYS驱动实现上存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

NPF.SYS驱动没有对传送给IOCTL 9031（BIOCGSTATS）的中断请求报文（IRP）参数执行充分的验证，如果向这个IOCTL发送了恶意参数，就可能导致覆盖任意内核内存。在默认安装中，只有在管理员使用了依赖于WinPcap的应用程序并初始化WinPcap时才会加载有漏洞的驱动。一旦加载，普通用户也可访问有漏洞的驱动，且在程序退出时也不会卸载驱动，除非手动卸载，否则攻击者仍可访问。 如果在安装时选择了允许普通用户访问选项，攻击者就可以访问有漏洞的驱动，利用这个漏洞以内核权限执行任意指令。

<*来源：Mario Ballano
  
  链接：http://www.winpcap.org/misc/changelog.htm
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=550
*>

建议：

---

厂商补丁：

WinPcap
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.winpcap.org/install/bin/WinPcap_4_0_1.exe

浏览次数：5499
严重程度：0（网友投票）