2010年2月1日消息,波兰安全组织NT Internals官网近日再次发文,确认瑞星官网下载的瑞星2010版仍然存在“本地提权”漏洞。并声称他“从瑞星2010版上又找到了一个新漏洞。”
1月29日,该网站最新发布了一篇题为《瑞星杀毒软件2008/2009/2010是否还有漏洞?》的文章。作者Alex在文中再度确认,他29日从瑞星中文官网下载的瑞星2010版仍然存在“本地提权”漏洞。作为证据,他此次干脆公开了该漏洞的部分利用代码。在文章最后,Alex声称他正在“写另一个新的安全建议”,因为他“从瑞星杀毒2010中发现了另外一个漏洞”。
一周前,波兰安全组织NT Internals披露了瑞星杀毒软件存在的两个“本地提权”0day漏洞,并称通报给瑞星近一年后,瑞星仅“部分修复”了第一个漏洞,第二个漏洞则“完全没有修复”。南京大学计算机系软件小组和360公司都验证了这一漏洞真实存在,并且利用方式非常简单,可以使黑客获得系统最高权限,让用户电脑以及政府机构和企业的内网完全丧失防御能力。随后360向用户紧急提供了针对该漏洞的临时补丁。
但瑞星公司先后两次发表声明称,早在2009年5月就“彻底修复了两个漏洞”,竭力弱化“本地提权”漏洞的危害性,并用“国际知名公司产品的数十个同类漏洞从未被实际利用过”这一理由为自己的行为辩护。
目前,针对瑞星杀软漏洞的攻击代码已经在国内外权威漏洞库、安全网站、论坛大量流传,相应的木马样本也已现身黑客论坛。经多家论坛测试,在不使用360临时补丁的情况下,漏洞攻击代码可轻松破坏瑞星用户上所有安全软件的保护。
另据瑞星官方论坛及多家网络安全论坛网友反馈,瑞星杀毒软件自1月29日夜间开始大规模升级部分驱动文件,而且正是存在“本地提权”漏洞的文件。截止发稿前,瑞星并没有公开说明此次升级是否与修复漏洞有关。
附1:波兰安全组织NT Internals最新公告,证实瑞星2010最新版仍存在“本地提权”漏洞
链接:http://www.ntinternals.org/index.php
英文原文:Is RISING Antivirus 2008/2009/2010 still vulnerable?
Last Saturday I’ve published two advisories related to RISING Antivirus software. While checking latest version of this software I only checked software provided on http://www.rising-global.com/ where can be downloaded RISING Antivirus 2009 in version 21.67.14.00. Today I was noticed that there is available RISING Antivirus 2010 which certainly should contain fixed device drivers. I’ve checked this version (22.00.02.76 – it can be downloaded here – http://rsdownload.rising.com.cn/for_down/ravdver/risol.exe) and I confirm that this version is also vulnerable. As proof I’m providing sample exploit – RsNTGdi_Exp.zip. I’m also composing a new advisory since I found another vulnerability in RISING Antivirus 2010.
中文译文(供参考):《瑞星杀毒软件2008/2009/2010还有漏洞吗?》
上个星期六,我公布了与瑞星杀毒相关的两个建议。当时,在检查这款软件最新版本的时候,我在http://www.rising-global.com/上下载了瑞星杀毒软件2009,检查了21.67.14.00的版本。今天,我得知有瑞星杀毒2010。这款软件当然应该含有修复了的设备驱动程序。我检查了这个版本(22.00.02.76,可以从此处下载(http://rsdownload.rising.com.cn/for_down/ravdver/risol.exe)。我确认,这个版本仍然有漏洞。作为证据,我提供可被利用的代码——RsNTGdi_Exp.zip。现在,我正在写另一个新的建议,因为我在瑞星杀毒2010中发现了另外一个漏洞。
附2:瑞星“本地提权”漏洞门事件回放
1、2008年9月,波兰安全组织NT Internals发现瑞星杀毒软件中存在一个“本地提权”0day漏洞,并秘密报告瑞星公司;相关链接:http://www.NTInternals.org/ntiadv0805/ntiadv0805.html
2、2009年4月,NT Internals发现瑞星杀毒软件中存在第二个“本地提权”0day漏洞,并秘密报告瑞星公司;相关链接:http://www.NTInternals.org/ntiadv0902/ntiadv0902.html
3、2010年1月23日,瑞星一直未能修复两个漏洞,NT Internals将漏洞信息在其官网曝光;
2010年1月28日,瑞星发表声明称“早在2009年5月就对两个漏洞进行了彻底修复”;相关链接:http://www.rising.com.cn/about/news/rising/2010-01-28/6530.html
4、2010年1月28日,南京大学计算机系软件小组经验证认为瑞星仍存在漏洞;相关链接:
http://techer.2009.blog.163.com
5、2010年1月29日,360安全中心发布瑞星漏洞临时补丁;相关链接:http://bbs.360.cn/4271460/34656173.html
6、2010年1月29日,瑞星再发声明承认产品存在漏洞,但同时认为“瑞星用户在上网时不会受到这种漏洞影响,在实际应用中极难被利用来进行远程攻击”。而此时,网上针对瑞星漏洞的攻击代码已大量流传。相关链接:
http://www.rising.com.cn/about/news/rising/2010-01-29/6553.html
7、2010年1月29日,波兰安全组织NT Internals发公告《瑞星杀毒软件2008/2009/2010是否还有漏洞?》,再度确认28日从瑞星中文官网下载的瑞星2010最新版仍存在同一漏洞。同时公布了部分利用代码RsNTGdi_Exp.zip,并称“从瑞星2010版上又找到了一个新漏洞。”
链接:http://www.ntinternals.org/index.php
瑞星这两年是严重的不行啊,太让人失望了
知道瑞星这样子,不用也就罢了 真的挺惋惜的,昔日的瑞星似乎一去不复返了