发布日期：2007-11-12
更新日期：2007-11-13

受影响系统：

WinPcap WinPcap 4.0.1

不受影响系统：

WinPcap WinPcap 4.0.2

描述：

---

BUGTRAQ  ID: 26409
CVE(CAN) ID: CVE-2007-5756

WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。

WinPcap的NPF.SYS设备驱动中的bpf_filter_init函数存在无效的数组索引漏洞，这个函数的几处调用未经正确的边界检查便将用户所提供的输入值用作了数组索引。如果用特定的值执行了IOCTL请求，攻击者就可以破坏内核中的栈或池内存，导致执行任意指令。

通常在管理员使用WinPcap相关应用程序时会加载设备驱动，加载后正常用户都可以访问，使用这个驱动的程序退出后也不会卸载这个驱动，因此在手动卸载之前仍可利用。

<*来源：iDEFENSE
  
  链接：http://www.winpcap.org/misc/changelog.htm
        http://secunia.com/advisories/27676/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=625
*>

建议：

---

厂商补丁：

WinPcap
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe

浏览次数：3351
严重程度：0（网友投票）