Existen un grupo de rutinas dentro de Windows (APIs) que son utilizadas por las aplicaciones para pedir y ejecutar servicios en forma transparente al usuario. Por su lado, Windows tiene una tabla indice dinámica de asignaciones para dirigir correctamente este tráfico. La misma recibe el nombre de SSDT (System Service Descriptor Table).

Para realizar su trabajo ZoneAlarm se sirve de múltiples funciones de servicios SSDT. De esta manera intercepta las peticiones de los programas cuyo destino son las API de Windows. Una vez interceptadas, son verificados los privilegios de las peticiones recibidas.

Dos de las funciones involucradas son validadas incorrectamente existiendo la posibilidad de que algunos parámetros inconsistentes sean utilizados, por lo que el cortafuego sufriría una denegación de servicio (DoS). El componente vulnerable de la aplicación es VSDATANT.SYS.

De quedar el ordenador sin la protección del cortafuego, sus puertos estarían vulnerables a cualquier agente malicioso que busque alguna forma de entrar o infectar el sistema.

Existe una prueba de concepto disponible. No ha sido confirmado pero es probable la ejecución remota de código malicioso. Tampoco se han visto publicados exploits que aprovechen este fallo.

Las versiones afectadas por esta vulnerabilidad son ZoneAlarm 6.5.737.000 y ZoneAlarm 6.1.744.001. No se descarta que anteriores versiones también sean vulnerables.

Se recomienda la actualización a una versión más nueva que no sea afectada. Públicamente la versión 7.0.337.000 es la última

Fuente

"TEST"