Trend Micros Antivirenlösungen ermöglichen Rechteausweitung
Ein Fehler in einem Treiber ermöglicht Anwendern den Zugriff mit vollen Rechten auf das System.
Der Sicherheitsdienstleister iDefense hat eine Sicherheitsmeldung zu einer Schwachstelle in Trend-Micro-Produkten für Unternehmen und Endanwender veröffentlicht. Ein von den Antivirenlösungen installierter Treiber enthält einen Fehler, durch den lokale Anwender beliebigen Programmcode mit SYSTEM-Rechten ausführen können.
Der Treiber Tmxpflt.sys stellt die DOS-Geräteschnittstelle \\.\Tmfilter zum Zugriff bereit. Allerdings erlauben die Zugriffsrechte Schreibzugriff für Jeder. Eine darüber aufrufbare Funktion des Treibers überprüft die Länge eines vom Anwender übergebenen Parameters nicht, bevor der Parameter in einen Puffer fester Größe kopiert wird. Dadurch kann ein Pufferüberlauf auftreten und fremder Code im Kernel-Kontext zur Ausführung kommen.
Der fehlerhafte Treiber mit den Versionsnummern 8.320.1004 und 8.500.1002 kommt unter anderem in den Produkten PC-Cillin Internet Security 2007, Client Server Messaging Security for SMB 3.6, Client Server Security for SMB 3.6, OfficeScan 7 und 8 und in ServerProtect for Microsoft Windows sowie Novell NetWare 5.58 zum Einsatz. Trend Micro will in der kommenden Woche am 30. Oktober die Scan-Engine 8.550-1001 auf den ActiveUpdate-Servern bereitstellen, die die Schwachstelle schließt und einige Kompatibilitätsprobleme der Software mit anderen Programmen lösen soll.
Siehe dazu auch:
- Trend Micro Tmxpflt.sys IOCTL 0xa0284403 Buffer Overflow Vulnerability, Sicherheitsmeldung von iDefense
- Buffer overflow in Scan Engine Tmxpflt.sys 8.320.1004 and 8.500.1002, Fehlermeldung von Trend Micro
- Issues resolved by Scan Engine version 8.550-1001, Zusammenfassung der Änderungen an der Scan-Engine von Trend Micro
(dmk)
