L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Panda Internet Security

alerte de vulnérabilité CVE-2017-5565 CVE-2017-5566 CVE-2017-5567

Antivirus : élévation de privilèges via Microsoft Application Verifier

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Produits concernés : Avast AV, NOD32 Antivirus, F-Secure AV, AVG AntiVirus, McAfee MOVE AntiVirus, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, TrendMicro Internet Security, OfficeScan.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 22/03/2017.
Références : 1116957, CVE-2017-5565, CVE-2017-5566, CVE-2017-5567, CVE-2017-6186, CVE-2017-6417, VIGILANCE-VUL-22211.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Microsoft Application Verifier de Antivirus, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 19977

Panda Antivirus, Panda Internet Security : élévation de privilèges via bcryptprimitives.dll

Synthèse de la vulnérabilité

Un attaquant peut créer un module bcryptprimitives.dll dans le dossier d'installation de Panda Antivirus et Panda Internet Security, afin obtenir les privilèges du système.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 27/06/2016.
Références : VIGILANCE-VUL-19977.

Description de la vulnérabilité

Les produits Panda Antivirus et Panda Internet Security dont constitués de plusieurs modules dont certains n'existent que sur certaines plateformes.

La bibliothèque partagée bcryptprimitives.dll fait partie des modules qui n'existent pas partout mais que le produit tente de charge systématiquement. Cependant, le dossier ou est elle cherchée est modifiable par des utilisateurs ordinaires. Un attaquant peut donc créer un module de nom dans ce dossier et qui sera exécuté avec les privilèges du compte système NT_AUTHORITY\SYSTEM. Cette vulnérabilité est de la même famille que celle décrite dans VIGILANCE-VUL-19558.

Un attaquant peut donc créer un module bcryptprimitives.dll dans le dossier d'installation de Panda Antivirus et Panda Internet Security, afin obtenir les privilèges du système.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 18671

Windows : exécution de code durant l'installation d'application

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Produits concernés : 7-Zip, ZoneAlarm, FileZilla Server, GIMP, Chrome, Kaspersky AV, Windows 10, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows (plateforme) ~ non exhaustif, Windows RT, Windows Vista, Opera, Panda AV, Panda Internet Security, PuTTY, OfficeScan, TrueCrypt, VLC.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 11/01/2016.
Références : sk110055, VIGILANCE-VUL-18671.

Description de la vulnérabilité

Lorsqu'un utilisateur installe une nouvelle application sous Windows, il télécharge le programme d'installation (install.exe par exemple), puis l'exécute.

Cependant, de nombreux programmes d'installation chargent des DLL (par exemple graphique.dll) depuis le répertoire courant. Ainsi, si un attaquant a invité la victime à télécharger un fichier graphique.dll malveillant, avant qu'il exécute install.exe depuis le répertoire Téléchargement, le code situé dans la DLL est exécuté.

Le bulletin VIGILANCE-VUL-19558 décrit le même problème pour d'autres produits.

Un attaquant peut donc inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation d'une application nécessitant ces DLL.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2015-1438

Panda AV/IS : corruption de mémoire via PSKMAD.sys

Synthèse de la vulnérabilité

Un attaquant local peut provoquer une corruption de mémoire dans PSKMAD.sys de Panda AV/IS, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges système.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Date création : 15/07/2015.
Références : CVE-2015-1438, VIGILANCE-VUL-17401.

Description de la vulnérabilité

Les produits Panda installent le pilote PSKMAD.sys.

Cependant, un attaquant local peut interagir avec ce pilote, pour corrompre sa mémoire.

Un attaquant local peut donc provoquer une corruption de mémoire dans PSKMAD.sys de Panda AV/IS, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges système.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 16617

Panda Antivirus, Internet Security : élévation de privilèges via Debug

Synthèse de la vulnérabilité

Un attaquant local peut déboguer le processus de vérification de mot de passe de Panda Antivirus ou Internet Security, afin d'altérer la configuration.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 1/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 15/04/2015.
Références : SYSS-2015-012, SYSS-2015-013, VIGILANCE-VUL-16617.

Description de la vulnérabilité

Les produits Panda Antivirus et Panda Internet Security utilisent un mot de passe pour protéger l'accès à leur configuration.

Le programme PSUAMain.exe (PSUNConsole.dll) gère la vérification de ce mot de passe. Cependant, ce programme s'exécute en tant qu'utilisateur courant.

Un attaquant local peut donc déboguer le processus de vérification de mot de passe de Panda Antivirus ou Internet Security, afin d'altérer la configuration.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-5307

Panda Security : buffer overflow de PavTPK.sys

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow dans PavTPK.sys de Panda Security, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du noyau.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, déni de service du serveur, déni de service du service, déni de service du client.
Provenance : shell utilisateur.
Date création : 20/08/2014.
Références : CVE-2014-5307, VIGILANCE-VUL-15212.

Description de la vulnérabilité

Les produits de Panda Security incluent un pilote PavTPK.sys, avec lequel un programme de l'espace utilisateur peut communiquer via des appels "ioclt".

La commande de numéro 0×222008 prend un tampon en argument. La taille des données est déduite d'une structure fournie par le noyau Windows mais accessible à l'application. L'application peut donc forcer le pilote à copier dans l'espace du noyau plus de données que le pilote peut en gérer.

Un attaquant peut donc provoquer un buffer overflow dans PavTPK.sys de Panda Security, afin de mener un déni de service, et éventuellement d'exécuter du code avec les privilèges du noyau
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2014-3450

Panda AV, IS : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant local peut employer une vulnérabilité de Panda AV Pro ou Internet Security, afin d'élever ses privilèges.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 21/05/2014.
Références : CVE-2014-3450, VIGILANCE-VUL-14777.

Description de la vulnérabilité

Un attaquant local peut employer une vulnérabilité de Panda AV Pro ou Internet Security, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 12211

Panda Internet Security : exécution de code via DLL Preload

Synthèse de la vulnérabilité

Un attaquant peut créer une DLL illicite sur une machine utilisant Panda Internet Security, afin de la faire exécuter avec les privilèges du compte SYSTEM.
Produits concernés : Panda Internet Security.
Gravité : 3/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 05/12/2012.
Références : BID-56808, VIGILANCE-VUL-12211.

Description de la vulnérabilité

Le produit Panda Internet Security contient plusieurs programmes qui chargent des DLL dynamiquement.

Cependant, ces DLL sont chargées de manière non sécurisée. Un attaquant peut alors employer la vulnérabilité VIGILANCE-VUL-9879 pour faire exécuter du code par ces programmes.

Un attaquant peut donc créer une DLL illicite sur une machine utilisant Panda Internet Security, afin de la faire exécuter avec les privilèges du compte SYSTEM.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2012-1420 CVE-2012-1432 CVE-2012-1433

Panda Antivirus : contournement via CAB, ELF, EXE, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par Panda Antivirus.
Produits concernés : Panda AV, Panda Internet Security.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 18.
Date création : 21/03/2012.
Références : BID-52582, BID-52592, BID-52593, BID-52594, BID-52595, BID-52596, BID-52598, BID-52600, BID-52601, BID-52602, BID-52604, BID-52605, BID-52606, BID-52608, BID-52614, BID-52615, BID-52621, BID-52623, CVE-2012-1420, CVE-2012-1432, CVE-2012-1433, CVE-2012-1434, CVE-2012-1435, CVE-2012-1436, CVE-2012-1439, CVE-2012-1440, CVE-2012-1442, CVE-2012-1444, CVE-2012-1445, CVE-2012-1446, CVE-2012-1447, CVE-2012-1453, CVE-2012-1454, CVE-2012-1456, CVE-2012-1459, CVE-2012-1463, VIGILANCE-VUL-11471.

Description de la vulnérabilité

Les outils d'extraction d'archives (CAB, TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF, EXE) légèrement malformés. Cependant, Panda Antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\7fELF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52615, CVE-2012-1420]

Un programme EXE contenant "\57\69\6E\5A\69\70" à l'offset 29 contourne la détection. [grav:2/4; BID-52594, CVE-2012-1432]

Un programme EXE contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:2/4; BID-52596, CVE-2012-1433]

Un programme EXE contenant "\19\04\00\10" à l'offset 8 contourne la détection. [grav:2/4; BID-52582, CVE-2012-1434]

Un programme EXE contenant "\50\4B\4C\49\54\45" à l'offset 30 contourne la détection. [grav:2/4; BID-52592, CVE-2012-1435]

Un programme EXE contenant "\2D\6C\68" à l'offset 3 contourne la détection. [grav:2/4; BID-52593, CVE-2012-1436]

Un programme ELF contenant un champ "padding" trop grand contourne la détection. [grav:2/4; BID-52602, CVE-2012-1439]

Un programme ELF contenant un champ "identsize" trop grand contourne la détection. [grav:2/4; BID-52595, CVE-2012-1440]

Un programme EXE contenant un champ "class" trop grand contourne la détection. [grav:2/4; BID-52598, CVE-2012-1442]

Un programme ELF contenant un champ "abiversion" trop grand contourne la détection. [grav:2/4; BID-52604, CVE-2012-1444]

Un programme ELF contenant un champ "abi" trop grand contourne la détection. [grav:2/4; BID-52605, CVE-2012-1445]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Un programme ELF contenant un champ "e_version" trop grand contourne la détection. [grav:2/4; BID-52601, CVE-2012-1447]

Une archive CAB contenant un champ "coffFiles" trop grand contourne la détection. [grav:1/4; BID-52621, CVE-2012-1453]

Un programme ELF contenant un champ "ei_version" trop grand contourne la détection. [grav:2/4; BID-52606, CVE-2012-1454]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Un programme ELF avec un cinquième octet modifié contourne la détection. [grav:2/4; BID-52614, CVE-2012-1463]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 10306

Panda Internet Security : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant local peut employer deux IOCTL sur des pilotes Panda Internet Security, afin de mener un déni de service ou de faire exécuter du code.
Produits concernés : Panda Internet Security.
Gravité : 2/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 26/01/2011.
Références : VIGILANCE-VUL-10306.

Description de la vulnérabilité

Le produit Panda Internet Security installe des pilotes, qui sont accessibles via des IOCTL. Ils sont impactés par deux vulnérabilités.

Le pilote kl1.sys ne vérifie pas les paramètres de l'IOCTL 0x06660d4c, ce qui stoppe le système. [grav:1/4]

Le pilote AppFlt.sys ne vérifie pas les paramètres de l'IOCTL 0x06660e1c, ce qui peut conduire à l'exécution de code. [grav:2/4]

Un attaquant local peut donc employer deux IOCTL sur des pilotes Panda Internet Security, afin de mener un déni de service ou de faire exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Panda Internet Security :