BFi14-dev-05 RELEASED title: VSYSCALL PAGE HIJACKING author: sbudella rel-date: 2007.09.08 read online: http://www.s0ftpj.org/bfi/dev/BFi14-dev-05 download: http://www.s0ftpj.org/bfi/dev/BFi14-dev-05 language: italiano description: Tra le tante nuove feature introdotte nel kernel Linux 2.6, vi e' l'accoppiata di istruzioni sysenter/sysexit che permettono di effettuare richieste da User Mode a Kernel Mode in maniera piu' efficiente e veloce rispetto alla loro controparte int/ret. Questo articolo illustra una nuova tecnica che consiste nello sfruttare questa caratteristica del kernel, permettendo ad un eventuale attaccante di intercettare e dirottare le syscall e di modificare il loro comportamento senza manipolare affatto la syscall table, o ricorrere a salti nel mezzo delle funzioni. La strada seguita offre meritevoli spunti sulla possibilita' di realizzare degli hook user/kernel space concettualmente ibridi.
-- BFi staff http://bfi.s0ftpj.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
