Kaspersky Lab Anti-Virus 5.0/6.0 Device Driver Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.1$0-$5k0.00

Zusammenfassunginfo

In Kaspersky Lab Anti-Virus 5.0/6.0 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es ist betroffen eine unbekannte Funktion der Komponente Device Driver. Die Veränderung resultiert in Pufferüberlauf. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2006-4926 vorgenommen. Der Angriff muss lokal angegangen werden. Zusätzlich gibt es einen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine Schwachstelle in Kaspersky Lab Anti-Virus 5.0/6.0 (Anti-Malware Software) ausgemacht. Sie wurde als kritisch eingestuft. Dabei betrifft es ein unbekannter Codeteil der Komponente Device Driver. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

The NDIS-TDI Hooking Engine, as used in the (1) KLICK (KLICK.SYS) and (2) KLIN (KLIN.SYS) device drivers 2.0.0.281 for in Kaspersky Labs Anti-Virus 6.0.0.303 and other Anti-Virus and Internet Security products, allows local users to execute arbitrary code via crafted Irp structure with invalid addresses in the 0x80052110 IOCTL.

Die Entdeckung des Problems geschah am 20.10.2006. Die Schwachstelle wurde am 19.10.2006 durch Ruben Santamarta (Website) publiziert. Das Advisory findet sich auf archives.neohapsis.com. Die Identifikation der Schwachstelle wird seit dem 22.09.2006 mit CVE-2006-4926 vorgenommen. Das Ausnutzen gilt als leicht. Der Angriff muss lokal erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Es wurde 2 Wochen nach dem Advisory ein Exploit veröffentlicht. Unter exploit-db.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $5k-$25k. Für den Vulnerability Scanner Nessus wurde am 09.01.2007 ein Plugin mit der ID 23996 (Kaspersky Labs Anti-Virus IOCTL Local Privilege Escalation) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext l ausgeführt.

Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah 20 Stunden nach der Veröffentlichung der Schwachstelle. Kaspersky Lab hat nachweislich unverzüglich gehandelt.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (29677), Exploit-DB (2676), Tenable (23996), SecurityFocus (BID 20635†) und OSVDB (29891†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.8
VulDB Meta Temp Score: 6.1

VulDB Base Score: 6.8
VulDB Temp Score: 6.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 23996
Nessus Name: Kaspersky Labs Anti-Virus IOCTL Local Privilege Escalation
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Timelineinfo

22.09.2006 🔍
19.10.2006 +27 Tage 🔍
19.10.2006 +0 Tage 🔍
19.10.2006 +0 Tage 🔍
19.10.2006 +0 Tage 🔍
20.10.2006 +0 Tage 🔍
20.10.2006 +0 Tage 🔍
20.10.2006 +0 Tage 🔍
20.10.2006 +0 Tage 🔍
29.10.2006 +8 Tage 🔍
31.10.2006 +2 Tage 🔍
09.01.2007 +70 Tage 🔍
12.03.2015 +2984 Tage 🔍
25.04.2026 +4062 Tage 🔍

Quelleninfo

Advisory: archives.neohapsis.com
Person: Ruben Santamarta
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2006-4926 (🔍)
GCVE (CVE): GCVE-0-2006-4926
GCVE (VulDB): GCVE-100-32883
X-Force: 29677
SecurityFocus: 20635 - Kaspersky Labs Anti-Virus NDIS-TDI Hooking Engine Local Privilege Escalation Vulnerability
Secunia: 22478
OSVDB: 29891 - Kaspersky Labs Anti-Virus IOCTL Local Privilege Escalation
SecurityTracker: 1017093
Vulnerability Center: 13005 - Multiple Kaspersky Products Kernel Privileges Code Execution IOCTL Vulnerability, High
Vupen: ADV-2006-4117

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 12.03.2015 22:21
Aktualisierung: 25.04.2026 02:59
Anpassungen: 12.03.2015 22:21 (70), 10.07.2019 10:43 (16), 25.04.2026 02:59 (18)
Komplett: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to know what is going to be exploited?

We predict KEV entries!