1月27日消息 波兰一家安全组织（www.ntinternals.org）近日公布：瑞星杀毒软件长期存在两个“本地提权”0day安全漏洞，使木马病毒能轻易获得瑞星用户的系统控制权。国内安全厂商金山和360的技术专家均已确认了这两个漏洞的存在，一旦受到黑客攻击，数千万瑞星用户将丧失对木马病毒的防御能力，并将导致国内大批政府与企业内网的信息安全面临严重威胁。

　　曝光者说，瑞星杀毒的这两个漏洞涉及瑞星杀毒软件2008、2009、2010等主要版本，而且利用方式简单、稳定，能使黑客在攻击瑞星用户时获得系统最高权限。金山工程师李铁军说，这两个漏洞有可能被黑客利用来制造“批量抓鸡工具”；360的石晓虹则在电话采访中表示，如果这类漏洞被黑客大规模利用，会严重威胁到瑞星个人用户的账号和隐私安全。另外一家企业级安全厂商的技术人员谈到了一种更严重的可能性：使用瑞星杀毒的政府机构和企业用户很可能因此被黑客渗透到内网中，从而危及这类机构的信息安全。

　　据发现漏洞的国外组织透露，该组织早在2008年9月和2009年4月分别将两个漏洞信息报告给瑞星，但迟迟没看到瑞星修复漏洞，因此才将技术细节曝光。鉴于漏洞信息已经公开，按照历次0day漏洞攻击爆发的规律，相应的攻击代码很可能会在今后几天内大面积扩散。

　　截至目前，瑞星公司尚未对有关漏洞一事作出官方回应，也未对用户发布紧急提示。

　　瑞星杀毒软件漏洞的相关信息已在国内相关论坛传播：

　　瑞星杀毒软件IOCTL请求处理本地权限提升漏洞
　　发布日期：2010-01-22
　　更新日期：2010-01-27

　　受影响系统：
　　Rising Antivirus 2009
　　Rising Antivirus 2008

　　描述：
　　瑞星是中国的一家非常着名的杀毒软件厂商。
　　瑞星杀毒软件所使用的RsNTGdi.sys、HookCont.sys、HookNtos.sys、HOOKREG.sys、HookSys.sys等设备驱动没有正确的验证用户提供给IOCTL处理器函数的地址，本地用户可以通过提交特制的IOCTL请求执行任意内核态指令。

　　来源：
　　查看：RISING Antivirus 2008/2009 Multiple Privilege Escalation Vulnerabilities
　　http://www.ntinternals.org/ntiadv0805/ntiadv0805.html
　　查看：RISING Antivirus 2008/2009 Privilege Escalation Vulnerability
　　http://www.ntinternals.org/ntiadv0902/ntiadv0902.html

　　建议：
　　厂商补丁：
　　Rising
　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
　　http://online.rising.com.cn/

文章如转载，请注明转载自：http://www.5iadmin.com/post/126.html