В утилите Sysmon обнаружена уязвимость утечки памяти, способная привести к нехватке памяти на компьютере и вызвать аварийное завершение работы после планового обновления конфигурационного файла с помощью запланированной задачи или каким-либо другим способом.
Sysmon представляет собой системную службу Microsoft, в фоновом режиме собирающую информацию о системе и записывающую ее в журнал событий Windows. После установки Sysmon конфигурационный файл настраивается таким образом, чтобы утилита автоматически запускалась и как служба, и как драйвер. Сбор информации начинается сразу же после загрузки системы.
По словам исследователя безопасности под псевдонимом Ionstorm, администраторы, работающие с версией Sysmon 8.0.0 и, возможно, 8.0.2, должны обновить утилиту до версии 8.0.4, в которой уязвимость утечки памяти уже исправлена.
«Мы обнаружили утечку памяти в poolmon. У нас есть скрипт, ежечасно обновляющий конфигурационный файл и загружающий xml с GitHub. После каждой перезагрузки пул не подкачиваемой памяти заполнялся на 15 МБ, и так каждый час. В итоге через 30 дней все перестало работать», - сообщил исследователь порталу Bleeping Computer.
Согласно сообщению на форуме Microsoft Sysinternals, после каждой перезагрузки конфигурационного файла драйвер Sysmon (SysmonDrv.sys) занимает новые участки пула не подкачиваемой памяти, при этом не очищая уже занятые участки. В результате происходит утечка памяти.