mks_vir杀毒软件mksmonen.sys驱动IOCTL请求本地权限提升漏洞

BUGTRAQ ID: 34039 MKS—vir是一款来自波兰的功能强大的反病毒软件。 MKS—vir的mksmonen.sys设备驱动没有正确地验证传送给IOCTL的用户提供地址，所有的IOCTL都生成为METHOD_NEITHER： ... .text:000113A7 @@ioctl_0x95FE0007: .text:000113A7 cmp [ebp+InputBufferLength], 4 .text:000113AB jnb short @@buffer_length_ok .text:000113AD .text:000113AD @@invalid_device_request: .text:000113AD mov dword ptr [ebx], STATUS_INVALID_DEVICE_REQUEST .text:000113B3 jmp @@exit .text:000113B8 .text:000113B8 @@buffer_length_ok: .text:000113B8 mov eax, [ebp+InputBuffer] .text:000113BB mov dword ptr [eax], offset scanimpl ; Type3InputBuffer[0] &lt;- 0xXXXXXXXX .text:000113C1 jmp @@exit ... 本地用户可以通过提交恶意IOCTL请求执行任意内核态代码。 MKS Sp.z o.o. mks_vir 9 BETA &lt; 1.2.0.0 - build 297 厂商补丁： MKS Sp.z o.o. ------------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.mks.com.pl/resources/files/mksvir_9_x32_build297.exe target=_blank rel=external nofollow>http://www.mks.com.pl/resources/files/mksvir_9_x32_build297.exe</a>