熊貓衛士系列殺毒軟件 有不安全文件訪問權限漏洞

受影響系統：Panda Antivirus 2008

描述：熊貓衛士是熊貓系列殺毒軟件，支持對多種文件格式進行病毒分析。

熊貓衛士以不安全訪問權限安裝系統文件，本地攻擊者可能利用此漏洞提升自己的權限，獲取系統的完全控制。

在安裝熊貓衛士2008時默認將安裝文件夾%ProgramFiles%Panda SecurityPanda Antivirus 2008的權限設置成了Everyone:Full Control。有些服務（如PAVSRV51.EXE）從這個文件夾以LocalSystem帳號啟動，而沒有對服務執行任何保護。非特權用戶可以用自己的文件替換服務可執行程序以本地系統權限獲得完全訪問，或獲得其他登錄到主機的任何用戶的權限，包括系統管理員權限。

廠商補丁：Panda

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取