В Comodo Antivirus обнаружены серьезные уязвимости безопасности

2019-07-25 6476 комментарии
Исследователи предупреждают об обнаружении в Comodo Antivirus серьезных уязвимостей безопасности, которые подвергают пользователей высокому риску. Патчи для исправления уязвимостей ожидаются в понедельник, 29 июля 2019

В докладе Tenable Research сообщается, что в Comodo Antivirus 12.0.0.6810 и Comodo Antivirus Advanced содержится несколько опасных уязвимостей (соответственно, и в Comodo Internet Security этой же версии).

Comodo Antivirus предназначен для защиты компьютеров от вторжений и заражений вредоносным ПО. Однако, исследователи в области компьютерной безопасности нашли недостатки программы, которые могут ослабить защитные свойства продукта.

Дэвид Уэллс (David Wells), инженер из Tenable, подробно описал уязвимости программы, которые можно использовать для выхода из песочницы и повышения привилегий на системном уровне. Также был создан подтверждающий концепцию прототип кода для эксплуатации уязвимости.

Первая уязвимость с идентификатором CVE-2019-3969 связана с ошибкой в компоненте CmdAgent, которая позволяет злоумышленникам обходить проверки подписи. В случае успешного обхода злоумышленники могут выполнить локальное повышение привилегий.

Вторая уязвимость, CVE-2019-3970, связана с серьезной проблемой при обработке базы данных сигнатурных определений. Tenable сообщает, что база данных хранится в защищенной папке на диске, но любой процесс с низкими привилегиями может модифицировать данные в памяти.

Еще один недостаток безопасности, CVE-2019-3971, вызван LCP-портом cmdvrtLPCServerPort, к которому можно получить доступ и завершить вместе с его дочерними экземплярами svchost - из-за использования жестко закодированных NULL, используемых для адреса источника memcpy.

С CmdAgent.exe связана еще одна уязвимость - CVE-2019-3972. Агент выполняет чтение из объекта раздела, помеченного как структура SharedMemoryDictionary. Таким образом, если объект изменен злоумышленниками, то это может привести к сбою и чтению вне границ буфера.

Наконец, последняя обнаруженная уязвимость, CVE-2019-3973, затрагивает только старые версии Comodo Antivirus до 11.0.0.6582. Ошибка возникает из-за того, что Cmdguard.sys открывает порт фильтра, который может привести к сбою и компрометации процесса с низким уровнем привилегий для защиты дескриптора порта. Как только это произойдет, злоумышленник сможет отправлять специально созданные сообщения, чтобы инициировать запись за пределами допустимого диапазона и спровоцировать сбой ядра.

Отчет Tenable был передан Comodo 17 апреля. К июню некоторые уязвимости были признаны разработчиком. Однако, Comodo считает, что проблема с LPE «отчасти связана с ошибкой Microsoft».

Компания Tenable проинформировала вендора о своих планах выпустить CVE 19 июня. 8 июля Tenable запросила график исправлений для непропатченных уязвимостей.

Tenable сообщает:

На момент публикации мы не осведомлены о каких-либо исправлениях, выпущенных Comodo, которые устраняют эти уязвимости. Мы рекомендуем отслеживать и своевременно устанавливать будущие выпуски Comodo Antivirus.

Comodo не предоставила официальный комментарий. Тем не менее, представитель Infosecurity заявил:

Не было зарегистрировано ни одного инцидента с использованием какой-либо из найденных уязвимостей, и клиенты не сообщали нам о связанных с этим проблемах. Команда разработчиков Comodo усердно работала над устранением всех уязвимостей, и все исправления будут выпущены к понедельнику, 29 июля.

Также ожидается официальный комментарий от Microsoft.

По материалам ZDnet

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте