WinPcap NPF.SYS bpf_filter_init函数本地权限提升漏洞

BUGTRAQ ID: 26409
CVE(CAN) ID: CVE-2007-5756

WinPcap是WIN32平台上的网络分析和捕获数据包的链接库。

WinPcap的NPF.SYS设备驱动中的bpf_filter_init函数存在无效的数组索引漏洞，这个函数的几处调用未经正确的边界检查便将用户所提供的输入值用作了数组索引。如果用特定的值执行了IOCTL请求，攻击者就可以破坏内核中的栈或池内存，导致执行任意指令。

通常在管理员使用WinPcap相关应用程序时会加载设备驱动，加载后正常用户都可以访问，使用这个驱动的程序退出后也不会卸载这个驱动，因此在手动卸载之前仍可利用。

WinPcap 4.0.1
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe” target=“_blank”>http://www.winpcap.org/install/bin/WinPcap_4_0_2.exe</a>