Yahoo! 助手(3721) ActiveX远程代码执行漏洞

以下消息来自幻影论坛[Ph4nt0m]邮件组

 

呵呵

顺便说下,那天想利用flash9 action script 3往localhost发包来利用xunlei的那个本地洞. 失败.

flash的安全验证无法绕过:

用Socket connect()过去就是请求domain-policy,如果有应答,则断开此连接.然后再开连接进行实际的数据交互.

 

void

2008-05-08

发件人： 大风

发送时间： 2008-05-08 11:06:03

收件人： [email protected]

抄送：

主题： [Ph4nt0m] 答复: [Ph4nt0m] Re: 答复: [Ph4nt0m] Re: Yahoo! 助手(3721) ActiveX远程代码执行漏洞

 

难得 sowhat 大牛在此出现啊

 

Luoluo 请跟进此问题 .

 

To void. Ax 的域限制是由浏览器的安全模型决定的。

 

不过某些情况下跨站也许可以绕过这层限制。

 

[Ph4nt0m]

[Ph4nt 0m Security Team]

                  刺@ph4nt0m

          Email:  [email protected]

          PingMe:

          === V3ry G00d, V3ry Str0ng ===

          === Ultim4te H4cking ===

          === XPLOITZ ! ===

          === #_# ===

#If you brave,there is nothing you cannot achieve.#

 

发件人: ph4nt 0m @googlegroups.com [mailto: ph4nt 0m @googlegroups.com ] 代表 Sowhat
发送时间: 2008 年5 月8 日 10:41
收件人: ph4nt 0m @googlegroups.com
主题: [Ph4nt 0m ] Re: 答复: [Ph4nt 0m ] Re: Yahoo! 助手(3721) ActiveX远程代码执行漏洞

 

经过测试，Yahoo助手并没有限制域名，任何domain都能触发。

另外，这个漏洞并没有补上，我昨天晚上下载的Yahoo助手依然存在此漏洞。

2008/5/8 void <[email protected]>:

如何进行域名判定的呢 ? 如果类似 yahoo.evil.com 呢 ?

 

void

2008-05-08

发件人： 云舒

发送时间： 2008-05-08  10:26:34

收件人： ph4nt 0m

抄送：

主题： [Ph4nt 0m ] Re: 答复 : [Ph4nt 0m ] Re: Yahoo! 助手 (3721) ActiveX 远程代码执行漏洞

 

据说 3721 只有在 yahoo 的域名下面， activex 才能使用。

 

2008-05-08

云舒

发件人： 大风

发送时间： 2008-05-08   10:16:20

收件人： [email protected]

抄送：

主题： [Ph4nt 0m ] 答复 : [Ph4nt 0m ] Re: Yahoo! 助手 (3721) ActiveX 远程代码执行漏洞

Sowhat 没有提供，只是给出了 ssid ，根据这个自己推导吧 .

[Ph4nt 0m ] 

[Ph4nt 0m  Security Team]

                   刺 @ph4nt 0m

          Email:  [email protected]

          PingMe: 

          === Ultimate Hacking ===

          === XPLOITZ ! ===

          === #_# ===

#If you brave,there is nothing you cannot achieve.#

 

----- 邮件原件 -----

发件人 : [email protected] [mailto:[email protected]]  代表

Xti9er

发送时间 :  2008 年5 月8 日  10:12

收件人 : Ph4nt 0m

主题 : [Ph4nt 0m ] Re: Yahoo!  助手 (3721) ActiveX 远程代码执行漏洞

"Proof of Concept:

只需要下面这行代码保存成 HTML 文件 , 即可触发漏洞  "

老大，没有代码阿

On  5 月7 日 ,  上午 10 时 20 分 ,  大风  <[email protected]> wrote:

> Yahoo!  助手 (3721) ActiveX 远程代码执行漏洞

>  

>  发现者 : Sowhat of  Nevis  Labs

>  日期 : 2008.05.06

>  

>  

[url]http://www.nevisnetworks.comhttp://[/url]secway.org/advisory/AD20080506EN.txthttp:

//secway.org/advisory/AD20080506CN.txt

>  

> CVE:    N/A

>  

>  厂商

> Yahoo! CN

>  

>  受影响版本 :

> Yahoo! Assistant<=3.6 ( 04/23/2008 之前版本 )

>  

> Overview:

> Yahoo! 助手 ( 原 3721 网络助手 ), 是一个 IE 下的 BHO (Browser Helper Object).

>  

> Yahoo! 助手有许多功能 , 例如 IE 设置修复 , 安全防护 , 删除浏览的历史信息 , 拦截广告 ,

等

>  等 .

>  更多信息 , 请参考 [url]http://cn.zs.yahoo.com/[/url]

>  

>  细节 :

>  

>  漏洞存在于 ynotifier.dll 这个 ActiveX 控件 .

>  成功利用此漏洞可以使得攻击者能够在安装了 Yahoo! 助手的电脑上执行任意代码 .

>  成功利用此漏洞需要诱使用户访问特定网页 .

>  

>  在通过 IE 初始化 Ynoifier COM 对象时 , 会出现一个可利用的内存破坏漏洞 .

>  

> (c78.fa0): Access violation - code c0000005 (first chance)

> First chance exceptions are reported before any exception handling.

> This exception may be expected and handled.

> eax=00e85328 ebx=001ada20 ecx= 4080624c  edx=00128474 esi=020cb 5f 0

> edi=00000000

> eip= 43f 50743 esp=001283e0 ebp=00128478 iopl=0         nv up ei pl zr na po

> nc

> cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000

> efl=00010246

>  43f 50743 ??               ???

>  

>  637a 8b47 8b 45f 8           mov     eax,[ebp-0x8]

>  637a 8b 4a  8b08             mov     ecx,[eax]

>  637a 8b 4c  8d55fc           lea     edx,[ebp-0x4]

>  637a 8b 4f  52               push    edx

>  637a 8b50  6a 01             push    0x1

>  637a 8b52 50               push    eax

>  637a 8b53 ff5158           call    dword ptr [ecx+0x58] ;

> ds:0023: 408062a 4= 43f 50743

>  

>  此处虚函数指向了一个无效的数据 .

>  

>  利用堆填充技术 , 攻击者可以通过利用此漏洞执行任意代码 .

>  

> Proof of Concept:

>  只需要下面这行代码保存成 HTML 文件 , 即可触发漏洞

> <object classid='clsid:2283BB66-A15D -4AC 8-BA72 -9C 8C 9F 5A 1691'>

>  

> Workaround:

>  对此 ActiveX 设置一个 Killbit.

>  

>  厂商回应 :

>  

> 2008.04.23  通过邮件通知厂商

> 2008.04.23  厂商回复 , 开发补丁

> 2008.04.23  补丁开发完毕 , 但厂商希望能够推迟公布细节 , 因为厂商需要时间推送补

丁

> 2008.05.06  发布公告 .( 厂商没有发布任何公告 )

>  

> [Ph4nt 0m ] <[url]http://www.ph4nt0m.org/[/url]>  

>  

> [Ph4nt 0m  Security Team]

>  

>                    <[url]http://blog.ph4nt0m.org/[/url]>  刺 @ph4nt 0m

>  

>           Email:  [email protected]

>  

>           PingMe:

> <[url]http://cn.pingme.messenger.yahoo.com/webchat/ajax_webchat.php?yid=han.[/url]..

> hq&sig=9ae1bbb1ae99009d8859e88e899ab2d 1c 2a 17724>

>  

>           === V3ry G00d, V3ry Str0ng ===

>  

>           === Ultim4te H4cking ===

>  

>           === XPLOITZ ! ===

>  

>           === #_# ===

>  

> #If you brave,there is nothing you cannot achieve.#

>  

>  image001.gif

> 5K 查看下载