bycocoruder(frankruder_at_hotmail.com)
Summary:
淘宝旺旺是阿里巴巴出名的即时通信软件,主要用于对淘宝网提供IM支持。
在淘宝旺旺中存在一个远程缓冲区溢出漏洞,远程攻击者可利用此漏洞在被攻击者系统上执行任意代码,进而可安装木马以及间谍程序,窃取相关敏感信息比如淘宝帐号/密码,或者支付宝帐号/密码。
AffectedSoftwareVersions:
2006年12月22号之前的淘宝旺旺或者某些未升级版本
Details:
漏洞存在于由ActiveX控件"WangWangX3.dll"导出的"RunWangWang()"函数中,相关信息如下:
InprocServer32:WangWangX3.dll
ClassID:6E213FC7-DD5A-4115-B7E6-D4C7838C361E
[id(0x00000003),helpstring("methodRunWangWang")]
longRunWangWang([in]BSTRpWebParam);
当设置超长的pWebParam值,将触发栈溢出,相关代码:
.text:1000174Floc_1000174F:;CODEXREF:sub_1000166D+DE�j
.text:1000174Fpushedi
.text:10001750pusheax;"AAAAAAAAAAAAAAAAAAA..."
.text:10001751leaeax,[ebp-114h]
.text:10001757pusheax;"D:\淘宝旺旺\WangWang.exe"
.text:10001758call_strcat;stackoverflow
.text:1000175Dleaeax,[ebp-114h]
.text:10001763pushesi;"\""
.text:10001764pusheax;char*
.text:10001765call_strcat
象极了之前的QQActiveX溢出。
VendorResponse:
厂商偷偷修复了此漏洞,当前没发现任何更新信息以及安全公告。
Solution:
估计是软件设计的问题,淘宝旺旺自动更新无效,当前仍然有大部分淘宝旺旺用户存在此安全隐患,建议用户通过注册表对相应的CLSID设置Killbit
DisclosureTimeline:
2006.12.10漏洞被发现
2006.12.11通知厂商
2006.12.22(左右)厂商修复漏洞,但未发布任何更新信息以及安全公告
2007.01.15协商未果,此公告发布
[UPDATE]
淘宝网在2007.01.16以论坛置顶帖子的方式发布了安全建议
当前位置:
