发布日期：2009-10-27
更新日期：2009-10-28

受影响系统：

Rising Antivirus 2009 (21.62.04)
Rising Internet Security 2009 (21.62.04)
Rising Personal Firewall 2009 (21.62.04)

描述：

---

BUGTRAQ  ID: 36836

瑞星是中国的一家非常著名的杀毒软件厂商。

瑞星杀毒软件和防火墙等产品的程序文件默认设置了不安全的权限（Users: Full Control）：

... snip ....


C:\Program Files\Rising\RFW\CCenter.exe BUILTIN\Utilisateurs:F
                                        BUILTIN\Utilisateurs avec pouvoir:C
                                        BUILTIN\Administrateurs:F
                                        AUTORITE NT\SYSTEM:F
                                        FUZZYXP\francis:F
... snip ...


... snip ...

C:\Program Files\Rising\Rav\RavTask.exe BUILTIN\Utilisateurs:F
                                        BUILTIN\Utilisateurs avec pouvoir:C
                                        BUILTIN\Administrateurs:F
                                        AUTORITE NT\SYSTEM:F
                                        FUZZYXP\francis:F
... snip ...

能够登录到安装了瑞星产品系统的本地非特权用户可以使用恶意文件替换某些安装文件来获得SYSTEM权限。例如，对于Rising Antivirus 2009，攻击者可以替换%Program\Files%\Rising\RAV\RavTask.exe（Rising RavTask Manager）之后重启系统便可以以SYSTEM权限执行恶意文件。尽管瑞星产品的自我保护机制可以防范对程序文件的操作，但可通过使用其内部shell对话框绕过，例如：“工具”中的“另存为”对话框 -> 安装程序创建工具 -> 浏览。

<*来源：Francis Provencher
  
  链接：http://marc.info/?l=bugtraq&m=125665849810246&w=2
        http://marc.info/?l=bugtraq&m=125665868710588&w=2
        http://marc.info:80/?l=bugtraq&m=125666030013266&w=2
        http://secunia.com/advisories/37181/
*>

建议：

---

厂商补丁：

Rising
------
目前厂商已经在最新版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://online.rising.com.cn/

浏览次数：2470
严重程度：0（网友投票）