Matousec hizo pública una vulnerabilidad que afecta a cortafuegos personales (PFW, Personal Firewalls) y otras utilidades de detección de intrusiones (HIPS, Host Intrusion Prevention System).

La versión 5.0 del kernel de Windows NT (Windows 2000 y superior), utiliza números enteros divisibles por cuatro para identificar los procesos.

La implementación interna de las funciones API del sistema (Application Program Interface, un conjunto de rutinas que las aplicaciones utilizan para solicitar y efectuar servicios del sistema operativo), permite además, la utilización de enteros que no son divisibles por cuatro para estos identificadores.

Esto significa que por cada proceso que se ejecuta en el sistema, pueden existir hasta cuatro identificaciones válidas.

Es posible implementar la manera de detectar identificadores equivalentes, de tal modo que la base de datos de los procesos controlados por un cortafuego personal o por una utilidad de detección de intrusos, interprete erróneamente la llamada a un proceso, y permita una acción que está prohibida (por ejemplo, una conexión a Internet).

Son vulnerables aquellos productos que apliquen ese tipo de protección para procesos críticos, sin tener en cuenta los diferentes tipos de identificadores que pueden ser posibles.

Un programa malicioso podría utilizar esto para eludir dicho software de seguridad, dando a un atacante la posibilidad de tomar el control total del sistema.

Son vulnerables los siguientes productos (y posiblemente versiones anteriores de los mismos):

Comodo Firewall Pro 2.4.18.184
Comodo Personal Firewall 2.3.6.81
ZoneAlarm Pro 6.1.744.001
También pueden ser vulnerables otras aplicaciones del tipo PFW e HIPS.

No es vulnerable el siguiente producto:

ZoneAlarm Pro 6.5.737.000 y superiores.

Se ha publicado una prueba de concepto.
Fuente