攻防实战:深入剖析最新IE7.0 0day漏洞利用代码
2008-12-16 13:42:01 来源:WEB开发网图12查看ko.exe文件壳
使用upx脱掉该壳,简要分析该执行程序,ko.exe执行后释放一个jiocs.dll到windows目录,通过Rundll32.exe将该dll文件注册起来。至于jiocs.dll简单看了下,是一个download下载者,这也和前面监控的现象相符合。
3.分析漏洞触发原理
不怎么会javascript,所以也没有具体分析,看了http://hi.baidu.com/vessial的介绍,大体知道是怎么触发这个漏洞的了?0day代码片断:
if(wxp||w2k3)document.write('<XMLID=I><X><C><![CDATA[<image SRC=http://rਊr.book.com
src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C
DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');
关键触发是由于这个Image SRC的字段的数据造成的http://rਊr.book.com
mshtml.dll会对这个SRC作解析,刚好该地址它们拼在一起就是一个可利用的堆地址,可使shellcode填充到这个地址空间去,从而执行我们的代码。
四、漏洞补丁及安全防范
关于该漏洞的补丁microsoft直到12月15号相关的补丁也没有出来,国内的一些安全组织倒是提前给出了安全补丁,呵呵,值得表扬!
给出国内的一些补丁下载地址:
360安全卫士 http://dl.360safe.com/360fixmsxml.exe
江民 http://filedown.jiangmin.com/KVIEXMLPatch.exe
IE 最新 0day 波及了微软全线系统,目前暂时没有补丁。微软于近日发布了一份安全通报,指导您如何暂时屏蔽此漏洞。
漏洞出在 OLEDB32.dll 这个文件上。所以我们的目的就是屏蔽这个文件。对此,微软连出了4个杀手锏:
更多精彩
赞助商链接