Критическая 0-day уязвимость в драйвере Macrovision: выполнение кода

Microsoft выпустила уведомление о совместной работе с Macrovision по устранению критической 0-day уязвимости в драйвере secdrv.sys, позволяющей локальному пользователю выполнять произвольный код с наивысшими привилегиями. Уязвимость активно используется хакерами.

Уязвимости подвержены Windows Server 2003 и Windows XP; Vista не уязвима, сообщает компания в бюллетене 944653, выпущенном вечером 5 ноября 2007 г.

Драйвер secdrv.sys, Macrovision Security Driver, не проверяет максимальную длину одного или нескольких параметров, переданных пользователем, перед тем как скопировать их в буфер фиксированного размера. В результате, атакующий может вызвать переполнение буфера и заставить драйвер передать управление на внедренный код. Драйвер выполнит этот код в нулевом кольце защиты процессора, то есть с наивысшими привилегиями.

Уязвимость может быть использована троянами для реализации технологии руткита - сокрытия своего кода и получения администраторских привилегий даже если код запущен от имени пользователя с ограниченными правами.

Symantec присвоила уязвимости рейтинг важности 6,5 и срочности - 6,6 по 10-балльной шкале. Macrovision представила обновление.