ZoneAlarm及Comodo防火墙本地绕过保护机制漏洞_安全中国

受影响系统：
Zone Labs ZoneAlarm Pro 6.1.744.001
Comodo Personal Firewall 2.3.6.81
Comodo Firewall Pro 2.4.18.184
不受影响系统：
Zone Labs ZoneAlarm Pro 6.5.737.000
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 23987

ZoneAlarm和Comodo都是非常流行的个人防火墙。

ZoneAlarm及Comodo防火墙在检测管理进程的实现上存在漏洞，本地攻击者可能利用此漏洞绕过检测。

Windows操作系统使用能被4整除的整数识别进程，系统API函数的内部实现还允许程序员使用无法被4整除的整数，这意味着系统中每个运行的进程都有4个有效的标识符。结合进程标识符控制API函数仅假设标识符可被4整除并不充分，仅测试内部个人防火墙/HIPS数据库与指定的标识符之间相等还不能确保安全。在这种实现下，防火墙可能错误的解释调用，执行一些应被禁止的操作。如果安全软件以这种方式对关键进程执行保护的话，就可能导致对系统的完全控制。如果使用了无法被4整除的标识符，就可能绕过防火墙所执行的进程保护机制。

<*来源：Matousec （http://www.matousec.com/）

链接：http://marc.info/?l=bugtraq&m=117924871623161&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00000P000ZA.zip
http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00002P005CF.zip

建议：
--------------------------------------------------------------------------------
厂商补丁：

Zone Labs
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.zonelabs.com