|
|
一、事件分析: | 5 e( j$ W9 ?9 b& T7 J% E; t- b/ u
| DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。 | | | Web迅雷1.7.3.109版之前的版本均受影响。7 G2 c3 F. m2 F2 A! u+ o
l" h) r. L* S, r
根据BCT组织分析,该漏洞产生细节如下:) H# \/ c7 F5 H& u1 z: C
WEB讯雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括:
9 A: D) g+ @9 ]+ r/ \8 B9 t2 i- e' `3 f SetBrowserWindowData:新建浏览器窗口。2 ?6 q3 i# z8 c3 H9 M+ `
SetConfig:设置WEB讯雷。
* h5 N' O, V( T0 ] i B HideBrowserWindow:隐藏浏览器。
# Y# \* b+ `" ^ AddTask:添加下载任务。4 U# j7 e- a; w
SearchTask:搜索任务,得到任务ID,文件下载状态等详情。, ]" f$ B9 S& d A$ T
OpenFile:根据任务ID,打开文件。
" g9 O3 k# d/ i. ~7 G
8 Y3 O6 k/ a2 R 攻击者利用这一系列的函数,已经能完成从下载到运行木马程序的完整过程,实现了一个完整的网页木马功能。
7 A+ T2 o8 ?7 `3 O# T4 P% M5 P | 构造的漏洞利用网页截图: 9 p( L" x5 C* Q, G" X% Q" ^
% l* i6 u' a6 M" O6 ?/ g# {+ ^" B
$ u/ L% Z5 l2 m9 @ | | | 二、解决方案: | | | 1、SetBrowserWindowData 函数验证URL参数是否为本地地址,或者为讯雷官方的地址,避免用户浏览除了本地到官方的URL地址,从而一定程度上防御外来恶意数据。 , w2 n- B: o. Q" S1 P
2、在漏洞曝光后,迅雷官方反应迅速,第一时间推出升级版,请将Web迅雷升级到最新版。
3 @* Y9 y/ D7 r* J 版本号:1.7.3.109
$ C9 z5 H: Y" r2 k" s! B; ], X7 C 下载地址: http://my.xunlei.com/setup.htm
' M j/ h, }* X3 D5 {1 F, A- t 3、推荐安装超级巡警防范恶意木马。 | | | 注: | | | 该漏洞由 Bug.Center.Team 组织发现并公布。
% p% O! D' R r" t4 l2 }; U$ s% | 漏洞发现者:Sobiny[BCT] | | | 关于Web迅雷: | | | Web迅雷是迅雷公司最新推出的一款基于多资源超线程技术的下载工具,和迅雷5作为专业下载工具的定位不同, web迅雷在设计上更多的考虑了初级用户的使用需求,使用了全网页化的操作界面,更符合互联网用户的操作习惯,带给用户全新的互联网下载体验! |
|
|
IP卡
狗仔卡
发表于 2007-8-25 10:11:44
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2007-8-25 12:38:17
楼主