到底是谁在撒谎　小心支付宝控件漏洞

www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------

 Cocoruder去年底向阿里巴巴报了一个淘宝旺旺ActiveX控件溢出的。 最无耻的是，可能因为wlj在文章里引用了我说的“就在2月8号，支付宝控件升级了。如果没问题，升级什么呢。”，阿里巴巴来了这么一句：“为了用户更安全，我们加固了支付宝控件。如果您看到升级提示，请按要求操作。”这种行为不但是对全体支付宝用户的愚弄，也是对我们这些信息安全研究者的侮辱。 这件事情阿里巴巴表现最突出的不是欺骗，也不是邪恶，而是愚蠢。认为一推到底就叫作危机公关了，殊不知裤子是遮不住屎的。下面就让我们看看阿里巴巴屁股帘后面藏的东西。 有问题的文件是pta.dll，这个东西属于“ActiveX控件”，只要装了这个东西，你访问的任何网页都可以通过IE浏览器来调用这个控件。也就是说，如果这个控件有问题，你在访问任何网站的时候，都可能被该网站上的恶意网页攻击，在机器上安装木马。这种并不是什么稀罕东西，最近几年从Flash到微软的MediaPlayer等都出过很多类似的。而这种也是目前国内木马最为流行的传播方式。 明白了是怎么回事，再让我们来看看阿里巴巴的登陆控件到底有没有这个。是不是像“专家检测”的那样：“并未发现上述问题及其它隐患”。 先让我们来访问淘宝的登陆页面 如果你不太懂为什么数字签名可以证明这个程序的确是由阿里巴巴发布的，请致电专业的数字认证公司“天威诚信数字认证中心”(010-84603568转708），问问他们，数字签名是不是能够认定这一点。没考虑数字签名这个茬，这是阿里巴巴在这件事情上第三个愚蠢之处。 存在的pta.dll是从1.0.0.7版开始有的。这个1.0.0.7版的数字签名时间是2006年2月22日23:00:31，也就是说差不多也就在这个时间之后不久发布。1.0.0.8版控件的签名时间是2007年2月7日22:30:09，在这个版本中，pta.dll被修复。从2006年2月到2007年2月，这个危险在我们的计算机上差不多存在了一年。 那么这个1.0.0.7版的控件到底有没有安全呢？现在大家都升级了控件，怎么测试呢？ 很简单，下载1.0.0.7版控件，然后关闭IE等浏览器安装控件,下载后请察看一下数字签名，确认是“ZHEJIANGZHIFUBAONETWORKTECHNOLOGYCO.,LTD.”发布的，而不是我造的假。 安装时会提示“目标文件已存在，而且比源文件要新”，点击“是”确认安装。如果提示要重新启动，就重新启动，否则旧版本控件不会生效。 然后访问链接，这是cocoruder提供的一个测试代码，如果执行成功，会运行系统的“计算器”；即使不成功，也会让IE出错崩溃。 那么作为普通用户，如何保护自己呢？很简单，运行系统的“命令提示符”，在其中输入：

regsvr32/u%SystemRoot%\System32\aliedit\pta.dll

这样就解除了pta.dll在系统中的注册，任何网页都无法调用它。大家再访问上面的链接就不会崩溃了。

【免费加入会员】【我要投稿】【关闭本页】