Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OUTPOST-FIREWALLS weiterer schwerer BUG durch ungepatchten Treiber sandbox.sys kann Systemcrash verursachen

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

17.11.2006, aktualisiert 07.01.2009, 7993 Aufrufe

Betrifft: Outpost Firewall PRO 4.0 (971.584.079), Outpost Firewall PRO 4.0 (964.582.059) und Outpost Firewall PRO 4.0 (964.582.059), sowie wahrscheinlich aeltere Versionen der Outpost Firewall PRO 4.0 und vermutlich aeltere Versionen von Outpost Firewall PRO

Hallo liebe Gemeinde!
Hier ganz frisch, die Fortsetzung der sandbox.sys Sicherheitsluecke...

Advisory 2006-11-15.01

Outpost Multiple insufficient argument validation of hooked SSDT [System Service Descriptor Table] function Vulnerability.

Basic information:

Release date: November 15, 2006

Last update: November 17, 2006

Type: Implementation bugs

Character: System crash

Status: Unpatched bugs

Risk: Serious bugs

Exploitability: Locally exploitable bugs

Discoverability: Medium discoverable bugs

Testing program: BTP00000P004AO.zip

Description:

Hooking SSDT [ System Service Descriptor Table ] functions requires extra caution. SSDT function handlers are executed in the kernel mode but their callers are executed in the user mode. Hence all function arguments come from the user mode. This is why it is necessary to validate these arguments properly. Otherwise a simple user call can easily crash the whole system. This bug usually results in a system crash. However, it may happen that this bug is even more dangerous and can lead to the execution of an arbitrary code in the privileged kernel mode.

Outpost Firewall PRO hooks many functions in SSDT and in at least twelve cases it fails to validate arguments that come from user mode. User calls to NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory with invalid argument values can cause system crashes because of errors in Outpost driver Sandbox.sys. Only in case of NtWriteVirtualMemory the user is able to prevent the system crash because Outpost alerts the user about a potentially dangerous action that can be blocked. However, even in this case the implementation of the Outpost driver is improper and should be fixed. Further impacts of this bug (like arbitrary code execution in the kernel mode) were not examined.
Vulnerable software:

          • Outpost Firewall PRO 4.0 (971.584.079)
          • Outpost Firewall PRO 4.0 (964.582.059)
          • probably all older versions of Outpost Firewall PRO 4.0
          • possibly older versions of Outpost Firewall PRO

Der sandbox.sys - Treiber hatte schon am 02.11.2006 von sich Reden gemacht;
https://www.administrator.de/forum/schwerer-bug-in-outpost-firewall-pro- ...

Original-Advisory vom matousec-team auf:
http://www.matousec.com/info/advisories/Outpost-Multiple-insufficient-a ...
[update vom 17.11.2006]

dort gibt es auch das Testfile
BTP00000P004AO.zip
zum runterladen.

Meine Meinung:
Agnitum sollte sich mal auf die Hinterbeine setzen und damit beginnen das Problem in den Griff zu bekommen. Es kann nicht sein, dem Kunden vollmundige Versprechungen zu machen ohne sie einzuhalten. Nach dem gegenwaertigen Stand der Dinge sind o.g. Produkte unsicher und nicht fuer den weiteren Gebrauch zu empfehlen; bis die Sicherheitsluecken gepatcht worden sind.

saludos
gnarff
Ähnliche Inhalte
Administrator.de Feedback
Bug Formatierung
Frage von freesoloAdministrator.de Feedback9 Kommentare

Schreibt mal folgendes um einen Link kursiv darzustellen Ergebnis: https:administrator.de Oder ebenfalls Ergebnis: Das ist ein Link // Wohl ...

Visual Studio
Visual Studio Bug?
gelöst Frage von zelamediaVisual Studio10 Kommentare

Hallo ich arbeite zwar noch nicht lange mit Visual Studio jedoch glaube ich etwas kann hier nicht stimmen! Ich ...

Administrator.de Feedback
Bug beim Antwortcounter?
gelöst Frage von SheogorathAdministrator.de Feedback6 Kommentare

Moin, es ist mir bereits heute Nacht aufgefallen, aber ich dachte im ersten Moment, dass da vielleicht einfach irgendwas ...

HTML
"Riesen Image bug"
gelöst Frage von djevil-adHTML6 Kommentare

Hallo und Guten Abend, Ich habe leider einen blöden Fehler auf meiner Webseite, und zwar wird beim Laden das ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 2 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 2 TagenSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 3 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 4 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
Hyper-V
Hyper-V Manager startet, jedoch keine VM
Frage von NaleorHyper-V14 Kommentare

Hallo zusammen, auf meinem Windows 10 (Build 1703) Notebook von der Arbeit scheint Hyper-V plötzliche nicht mehr zu funktionieren. ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS13 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows 10
Windows 10 PC kein Ping möglich von anderen PCs
Frage von babylon05Windows 108 Kommentare

Hallo, ich habe 2 neue PC's in einer Windows 2008 Domän. Diese haben Windows 10. Die anderen PC's sind ...