【聚杰网拒绝服务攻击】VMWare Workstation hcmon.sys驱动本地拒绝服务漏洞VMWare Workstation hcmon.sys驱动本地拒绝服务漏洞
发布日期:2008-08-18
更新日期:2008-08-19
受影响系统:
VMWare VMWare Workstation 6.0.0.45731描述:
VMWare VMWare Workstation
BUGTRAQ ID: 30737
CVE(CAN) ID: CVE-2008-3761
VMWare是一款虚拟PC软件,允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。
VMWare的hcmon.sys驱动没有过滤用户态通过METHOD_NEITHER发送的指针:
.text:00011606 loc_11606: .text:00011606 mov eax, [ebp+SystemBuffer]
.text:00011609 mov [ebp+SystemBuffer2], eax
.text:0001160C mov ecx, [ebp+SystemBuffer2]
.text:0001160F mov edx, [ecx+0Ch] <---- BUGCHECK
.text:00011612 cmp edx, [ebp+var_20]
.text:00011615 jnz short loc_11629
.text:00011617 cmp [ebp+NumberOfBytes], 70h
.text:0001161B jb short loc_11629
.text:0001161D mov eax, [ebp+SystemBuffer2]
.text:00011620 cmp dword ptr [eax+8], 7FFBh
.text:00011627 jbe short loc_11638
如果本地用户向//./hcmon设备发送了0x8101232B IOCTL,就可以导致内核崩溃。
<*来源:g_ (g_@orange-bat.com)
链接:http://secunia.com/advisories/31410/
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
厂商补丁:
VMWare
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.vmware.com
