CERT-FI haavoittuvuustiedote 157/2007

13.11.2007

Haavoittuvuus WinPcap-ohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

WinPcap-ohjelmisto tarjoaa muun muassa rajapinnan tietoliikennepakettien kaappaamiseen OSI-mallin 2. kerroksella Windows-järjestelmissä. WinPcap-ohjelmistosta on löydetty muun muassa käyttövaltuuksien laajentamisen mahdollistava haavoittuvuus. Haavoittuvuutta hyväksikäyttämällä paikallisen käyttäjän on mahdollista suorittaa komentoja kernel-tason käyttövaltuuksilla. Haavoittuvuus liittyy WinPcap-ohjelmistoon kuuluvaan NPF.SYS -ajuriin ja bpf_filter_init-funktioon, joka ei tarkista sille annettuja parametreja riittävän tarkasti. Hyväksikäyttö on mahdollinen haavoittuvan ajurin ollessa ladattuna järjestelmän muistiin.

HAAVOITTUVAT OHJELMISTOT:

• WinPcap versio 4.01. Myös sitä edeltävät versiot saattavat olla haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto versioon 4.02:

http://www.winpcap.org/install/default.htm

LISÄTIETOA:

• http://www.winpcap.org/misc/changelog.htm
• http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=625
• http://secunia.com/advisories/27676/

PÄIVITYSHISTORIA:

13.11.2007, kello 12.15: Julkaistu

Sivua päivitetty 13.11.2007

Tulostusversio