发布日期：2007-07-11
更新日期：2007-07-13

受影响系统：

Symantec Norton AntiVirus 2006
Symantec Norton AntiVirus 2005
Symantec Norton Personal Firewall 2006
Symantec Norton Personal Firewall 2005
Symantec Norton AntiSpam 2005
Symantec Client Security 3.1
Symantec Client Security 3.0
Symantec Client Security 2.0
Symantec Client Security
Symantec Internet Security 2006
Symantec Internet Security 2005
Symantec Norton System Works 2006
Symantec Norton System Works 2005
Symantec AntiVirus Corporate Edition 9.x
Symantec AntiVirus Corporate Edition 10.1
Symantec AntiVirus Corporate Edition 10.0

描述：

---

BUGTRAQ  ID: 22351
CVE(CAN) ID: CVE-2007-3673

Symantec AntiVirus是非常流行的杀毒解决方案。

Symantec AntiVirus的驱动在处理特定参数时存在漏洞，本地攻击者可能利用此漏洞控制系统。

Symantec杀毒软件所使用的\\symTDI\设备驱动在处理IOCTL 0x83022323时没有正确地验证地址空间，如果本地攻击者向IOCTL处理函数提交了特制IRP参数的话，就可能导致覆盖内存，以内核权限执行任意指令。

<*来源：Zohiartze Herce
  
  链接：http://secunia.com/advisories/26042/
        http://securityresponse.symantec.com/avcenter/security/Content/2007.07.11d.html
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=554
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.milw0rm.com/sploits/07122007-symTDI_advisory.rar

建议：

---

厂商补丁：

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.symantec.com/

浏览次数：2581
严重程度：0（网友投票）