<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.10.3">
</HEAD>
<BODY>
Hello,<BR>
The present document aims to demonstrate a design weakness found in the handling of simply <BR>
linked&nbsp;&nbsp; lists&nbsp;&nbsp; used&nbsp;&nbsp; to&nbsp;&nbsp; register&nbsp;&nbsp; binary&nbsp;&nbsp; formats&nbsp;&nbsp; handled&nbsp;&nbsp; by&nbsp;&nbsp; Linux&nbsp;&nbsp; kernel,&nbsp;&nbsp; and&nbsp;&nbsp; affects&nbsp;&nbsp; all&nbsp;&nbsp; the&nbsp;&nbsp; kernel <BR>
families (2.0/2.2/2.4/2.6), allowing the insertion of infection modules in kernel&#173; space that can be <BR>
used by malicious users to create infection tools, for example rootkits.<BR>
<BR>
POC, details and proposed solution at:<BR>
English version: <A HREF="http://www.shellcode.com.ar/docz/binfmt-en.pdf">http://www.shellcode.com.ar/docz/binfmt-en.pdf</A><BR>
Spanish version: <A HREF="http://www.shellcode.com.ar/docz/binfmt-es.pdf">http://www.shellcode.com.ar/docz/binfmt-es.pdf</A><BR>
<BR>
regards,<BR>
--<BR>
SHELLCODE Security Research TEAM<BR>
<A HREF="mailto:GoodFellas@shellcode.com.ar">GoodFellas@shellcode.com.ar</A><BR>
<A HREF="http://www.shellcode.com.ar">http://www.shellcode.com.ar</A><BR>
<BR>
</BODY>
</HTML>