CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 1CVE-2016-4329
https://notcve.org/view.php?id=CVE-2016-4329
A local denial of service vulnerability exists in window broadcast message handling functionality of Kaspersky Anti-Virus software. Sending certain unhandled window messages, an attacker can cause application termination and in the same way bypass KAV self-protection mechanism. Existe una vulnerabilidad local de denegación de servicio en la funcionalidad de manejo de mensajes de difusión de ventanas del software Kaspersky Anti-Virus. Enviando ciertos mensajes de ventana no manipulados, un atacante puede provocar la terminación de la aplicación y en el mismo sentido eludir el mecanismo KAV de autoprotección. • http://www.securityfocus.com/bid/92771 http://www.securityfocus.com/bid/92771/info http://www.talosintelligence.com/reports/TALOS-2016-0175 https://support.kaspersky.com/vulnerability.aspx?el=12430#010916 • CWE-20: Improper Input Validation •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 1CVE-2016-4306
https://notcve.org/view.php?id=CVE-2016-4306
Multiple information leaks exist in various IOCTL handlers of the Kaspersky Internet Security KLDISK driver. Specially crafted IOCTL requests can cause the driver to return out-of-bounds kernel memory, potentially leaking sensitive information such as privileged tokens or kernel memory addresses that may be useful in bypassing kernel mitigations. An unprivileged user can run a program from user-mode to trigger this vulnerability. Existen múltiples fugas de información en varios manejadores IOCTL del controlador de Kaspersky Internet Security KLDISK. Peticiones IOCTL especialmente manipuladas pueden provocar que el controlador devuelva memoria del kernel fuera de límites, filtrando potencialmente información sensible como tokens privilegiados o direcciones de memoria kernel que podrían ser útiles en la elusión de mitigaciones del kernel. • http://securitytracker.com/id/1036702 http://www.securitytracker.com/id/1036702 http://www.securitytracker.com/id/1036703 http://www.talosintelligence.com/reports/TALOS-2016-0168 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •