2007年度网马漏洞不完全总结

迅雷5出现0-Day漏洞？
截获日期：2007-09-25
大家看好标题哦，这次是迅雷5，而不是WEB迅雷～
根据恶意网址检测的线报，发现一恶意网址使用未公开的迅雷50-Day漏洞进行挂马，其EXP代码如下：
详细代码可以看我以前写的文章《惊暴：迅雷5出现0-Day漏洞？》
该代码风格颇相前段时间的《暴风影音II ActiveX栈溢出漏洞》，尾部为%u7468%u7074＋此处为需要下载病毒的网址＋%u0000")，但其CLSID为:EEDD6FF9-13DE-496B-9A1C-D78B3215E266
经验证，该ActiveX控件文件为：C:\Program Files\Thunder Network\Thunder\Components\DownAndPlay\DownAndPlay\DapPlayer1.0.0.41.dll
我已经将该信息提交给迅雷官方，相信迅雷官方会尽快更新软件，
在此，网络巡警提醒大家，使用迅雷软件请尽量使用最新版本的，最新版本下载地址为：
http://pstatic.xunlei.com/about/product/down_xl5.htm
我会进一步关注此漏洞。
最近情况：
从一些信息来看，含有此漏洞的迅雷版本号为Xunlei Web Thunder 5.6.9.344
最新版的迅雷5.7.2.371 应该无此漏洞，请大家更新～
另外，该漏洞是一个叫做 7jdg 的人挖掘发现的（高手啊）。
--------------------------------
更新：
该漏洞的CVE数据库信息：CVE-2007-5064
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5064


利用Yahoo! Messenger 8.1.0.421 CYFT ft60.dll ActiveX控件GetFile方式任意文件上传漏洞挂马的病毒已经出现！
截获日期：2007-09-26
从恶意网址检测的消息，发现了一个恶意网址使用“雅虎通CYFT ft60.dll ActiveX控件GetFile方式任意文件上传漏洞”进行挂马，再次提醒广大用户警惕，请将Yahoo! Messenger 升级到最新版本，目前该软件最新版本为雅虎通8.3正式版。
该恶意网址的EXP代码如下：
详细代码可以看我写的文章《紧急预警：利用Yahoo! Messenger 8.1.0 ActiveX控件漏洞挂马的病毒已经出现！》
雅虎通的CYFT ActiveX控件实现上存在漏洞，远程攻击者可能利用此漏洞向用户系统上传任意文件。CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤，远程攻击者可以通过提供畸形参数向用户系统的任意位置上传任意文件，但是相关的控件默认情况下不能远程调用。
该漏洞是由shinnai （shinnai@autistici.org）发现的。
该漏洞的CVE数据库信息CVE-2007-5017：http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5017
该漏洞在milw0rm上的Shellcode代码：Yahoo! Messenger 8.1.0.421 CYFT Object Arbitrary File Download
解决方案：
请下载最新版本的Yahoo! Messenger ，官方下载地址：http://cn.messenger.yahoo.com/


联众游戏、超星阅读器0-Day
截获日期：2007-10-19
这两个网马漏洞是虽着ARP病毒传播开来的，相WEB页面中注入恶意网址链接。
其中：
联众游戏有漏洞的组件为：C:\Program Files\GlobalLink\Game\Share\GLChat.ocx, GlobalLink
其 CLSID:AE93C5DF-A990-11D1-AEBD-5254ABDD2B69
超星阅读器有漏洞的组件为：C:\WINDOWS\system32\pdg2.dll
其 CLSID:7F5E27CE-4A5C-11D3-9232-0000B48A05B2
联众游戏GLChat.ocx 2.5.1.32 组件漏洞CVE数据库信息：CVE-2007-5722
超星阅读器SSReader Pdg2 组件漏洞CVE数据库信息：CVE-2007-5892
该恶意网址的EXP代码如下：
详细代码可以看我写的文章《ARP病毒携新应用软件漏洞（联众游戏、超星阅读器 0-Day）大肆传播》


迅雷5－迅雷看看（Thunder KanKan）组件漏洞
截获日期：2007-11-14
pplayer.dll 组件版本号：1.2.3.49，CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F.
该组件内的一个函数FlvPlayerUrl上，存在边界检查不严格的问题，当向其传递过长参数时，会导致程序溢出。病毒作者可以利用这个缺陷，精心编写Shellcode，溢出，然后可以下载任意恶意病毒文件。
CVE数据库信息：CVE-2007-6144
该恶意网址的EXP代码如下：
详细代码可以看我写的文章《迅雷5又（这次怎么多了一个又字）出现0-Day漏洞？！》


RealPlayer 漏洞
截获日期：2007-11-23
这个于今年10月18日批露的漏洞，源于RealPlayer 播放器中的MPAMedia.dll 提供的数据库组件，在处理播放列表名时存在栈溢出漏洞，可以使用ierpplug.dll提供的IERPCtl ActiveX 控件导入一个特殊的播放列表让RealPlayer读取，病毒作者可以通过构造包含此漏洞触发代码的恶意网页，当用户不小心浏览过该网页时，如果电脑中安装的RealPlayer 播放器版本包含此漏洞，就可以触发这个溢出，导致执行任意代码。
影响版本：RealPlayer 11 Beta
　　　　 RealPlayer 10.5
该漏洞CVE数据库信息：CVE-2007-5601
该恶意网址的EXP代码如下：《预警：RealPlayer 漏洞挂马已现身江湖》


McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞网马
截获日期：2007-12-17
McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞
（McAfee Security Center集中配置GUI远程溢出漏洞）
一个利用McAfee McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞编写的网页木马，含有漏洞溢出的控件名称为 MCSUBMGR.DLL, (McAfee Subscription manager module 6.0.0.13)，特征的clsid:9BE8D7B2-329C-442A-A4AC-ABA9D7572602
该恶意网址的EXP代码可参考文章：《杀软也疯狂！利用McAfee Security Center McSubMgr.DLL ActiveX控件远程溢出漏洞网马已出现》

上一页  [1] [2]