bsp; 4 月 14 日消息,安全研究人员 Patrick Saif(@weezerOSINT)昨日(4 月 13 日)在 X 平台发布推文,披露金山毒霸与 360 安全卫士两款主流杀毒软件的内核驱动存在高危漏洞。金山毒霸的 kdhacker64_ev.sys 驱动在处理用户输入后,分配的缓冲区大小仅为所需的一半,导致 1160 字节数据写入 584 字节空间,直接引发 512 字节的内核池溢出
.sys 驱动允许通过 IOCTL 接口传入 4 字节进程 ID,并在 Ring 0 层级调用 ZwTerminateProcess 强制终止任意进程,甚至能绕过 PPL(受保护进程)机制。更严重的是,其内核读写功能使用 AES-128-CBC 算法,让解密密钥硬编码在二进制文件的.data 段中,且所有版本使用同一密钥,且该驱动通过了 WHQL 签名认证。目前两个漏洞已提交至 LOLDriver
当前文章:http://bbcpp.yueduge.cn/do5f5lt/tht2.html
发布时间:11:06:16
