【防木马小常识】修复第三方软件漏洞,掐断木马入侵源头
360安全中心在对当前机器狗木马进行深入分析后发现,机器狗等若干近期爆发的木马均是通过网页挂马的形式由系统漏洞及第三方软件漏洞入侵用户系统。当大部分用户已养成定时给系统打漏洞补丁的习惯后,木马制造者又看中了第三方软件漏洞传播这一“隐蔽”渠道。被利用的第三方ActiveX插件漏洞,涉及迅雷、暴风影音、百度超级搜霸、realplayer等多款常见软件的部分版本中,而且其中多数漏洞曾经是或者现在仍是0day漏洞。
360安全中心建议广大用户对这些常见软件及时更新,在发现漏洞后及时修复,并使用360安全卫士提供的机器狗专杀进行检测([url]http://dl.360safe.com/killer_rodog.exe[/url])。
以下是360安全中心根据各大安全类站点报道,及自身的详细分析得出的常见第三方软件漏洞信息及解决方案,建议大家对照检查系统中软件是否是存在漏洞,及时修补。
【RealPlayer】
1. 漏洞说明
RealPlayer的MPAMedia.dll库所提供的RealPlayer数据库组件在处理播放列表名时存在栈溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。由于可使用ierpplug.dll所提供的IERPCtl ActiveX控件将本地文件导入到RealPlayer中指定的播放列表,因此如果用户受骗访问了恶意网页并导入了恶意文件的话,就可以触发这个溢出,导致拒绝服务或执行任意指令。
2. 存在漏洞版本
RealPlayer 11 Beta、RealPlayer 10.5
3. 解决方法
Real官方补丁下载地址:[url]http://service.real.com/realplayer/security/zh-cn/[/url]
下载最新版本,官方下载地址:[url]http://www.real.com/realsuperpass.html[/url]
4. 信息来源
[url]http://www.sebug.net/vulndb/2778[/url]
[url]http://www.securityfocus.com/bid/12410/discuss[/url]
【暴风影音】
1. 漏洞说明
该漏洞发生在暴风影音II的一个activex控件上,当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行,已有多个网站利用暴风影音II漏洞进行挂马。
2. 存在漏洞版本
“暴风影音”2.8版和“暴风影音”2.9测试版
3. 解决方法
下载最新版本,官方下载地址:[url]http://www.baofeng.com/hd/ld/[/url]
4. 信息来源
[url]http://secunia.com/advisories/26749/[/url]
【PPStream】
1. 漏洞说明
这个漏洞的产生是由于PPstream 的ActiveX 控件在处理畸形,含远程执行代码的网页时,存在一个远程执行代码的栈溢出漏洞;浏览者可能被远程用户控制而拿到SYSTEM权限。
2. 存在漏洞版本
PPStream PowerList.ocx 2.1.6.2916
3. 解决方法
目前官方还没有提供补丁或者升级程序,建议您暂时卸载该软件版本或者关注官方新版本发布。
4. 信息来源
[url]http://www.sebug.net/vulndb/2520[/url]
↑回到页首
【迅雷】
1. 漏洞说明
迅雷的PPLAYER.DLL_1_WORK ActiveX控件实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。
迅雷的PPLAYER.DLL_1_WORK ActiveX控件(pplayer.dll组件版本号1.2.3.49,CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F)中的FlvPlayerUrl函数没有正确地验证用户提供参数,如果向其传递了超长参数就会触发缓冲区溢出,导致执行任意指令。目前这个漏洞正在被积极的利用。病毒作者可利用该漏洞编写恶意网页,当用户浏览这些网页的时候,就会感染病毒,该病毒可以盗窃用户的帐号和密码,从而使用户遭受到损失。
2. 存在漏洞版本
迅雷5 5.7.4.401
3. 解决方法
目前官方尚未提供新版本解决该漏洞,可暂时卸载该版本或采用如下临时解决办法
将下面内容保存为.reg文件,双击导入注册表:
-----------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\ActiveX Compatibility\{F3E70CEA-956E-49CC-B444-73AFE593AD7F}]
"Compatibility Flags"=dword:00000400
----------------------------------------------------------------------------------
4. 信息来源
[url]http://secunia.com/advisories/27795/[/url]
[url]http://www.sebug.net/vulndb/2245[/url]
【联众世界】
1. 漏洞说明
联众世界游戏大厅所带的ActiveX控件实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。
联众世界游戏大厅所安装的GLCHAT.GLChatCtrl.1 ActiveX控件(GLChat.ocx)没有正确地处理ConnectAndEnterRoom()方式。如果用户受骗访问了恶意网页并向该方式传送了超常参数的话,就可能触发栈溢出,导致执行任意指令。目前这个漏洞正在被积极地利用。
2. 存在漏洞版本
联众世界游戏大厅2.x版本
3. 解决方法
目前官方还没有提供补丁或者升级程序,建议您暂时卸载该软件版本或者关注官方新版本发布。
4. 信息来源
[url]http://pstgroup.blogspot.com/2007/09/tipsgloballink-glitemcomdll-setinfo.html[/url]
[url]http://secunia.com/advisories/27500/[/url]
【百度搜霸工具条】
1. 漏洞说明
百度搜霸的C:\Program Files\baidubar\BaiduBar.dll 文件提供ActiveX接口供网页进行调用,但是其中的DloadDS函数,允许攻击者在受害机器上执行任意代码。
DloadDS函数提供三个参数,分别是url地址,执行文件名,和是否显示。当url以.cab结尾时,搜霸会下载此文件到临时目录,随后以exe方式执行。
2. 存在漏洞版本
百度搜霸5.4 (BaiduBar.dll模块版本为 2.0.2.144)
3. 解决方法
下载最新版本,官方下载地址:[url]http://bar.baidu.com/sobar/promotion.html[/url]
4. 信息来源
[url]http://seclists.org/fulldisclosure/2007/Aug/0015.html[/url]
【Adobe Reader】
1. 漏洞说明
Adobe Reader或Adobe Acrobat打开恶意PDF文件时可能会启动file:// URL,这可能导致读取系统上的任意文件并发送给攻击者。
2. 存在漏洞版本
Adobe Acrobat Professional 8.0.0 Adobe Adobe Reader Professional 8.0.0
3. 解决方法
目前官方还没有提供补丁或者升级程序,建议您暂时卸载该软件版本或者关注官方新版本发布。
4. 信息来源
[url]http://www.sebug.net/vulndb/1455[/url]
【Qvod player】
1. 漏洞说明
Qvod Player的一个activex控件上,当安装了Qvod Player的用户在浏览到黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。
2. 存在漏洞版本
Qvod Player 2.0
3. 解决方法
目前官方尚未提供新版本解决该漏洞,可暂时卸载该版本或采用如下临时解决办法
将下面内容保存为.reg文件,双击导入注册表:
----------------------------------Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F3D0D36F-23F8-4682-A195-74C92B03D4AF}]
"Compatibility Flags"=dword:00000400
----------------------------------
4. 信息来源
[url]http://www.dswlab.com/vir/v20080111.html[/url]
【腾讯QQ】
1. 漏洞说明
QQ的VQQPLAYER.OCX控件实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。
2. 存在漏洞版本
Tencent QQ 2006
3. 解决方法
目前厂商已经发布了升级补丁修复这个安全问题,请到厂商的主页下载最新版本[url]http://im.qq.com[/url]
4. 信息来源
[url]http://www.sebug.net/vulndb/2515[/url]
【PPLive】
1. 漏洞说明
ActiveX类型溢出,远程攻击者可能利用此漏洞控制用户系统。
2. 存在漏洞版本
pplive 1.8beat2
3. 解决方法
请到官方下载最新版本:[url]http://www.pplive.com/zh-cn/download.htm[/url]
4. 信息来源
[url]http://www.cnbct.org/index.php?action=article_view&aid=21[/url]
【Flash player】
1. 漏洞说明
Flash Player中的ActionScript 3(AS3)允许远程攻击者通过指定了连接的SWF电影绕过安全沙盒模型获得敏感信息并端口扫描任意主机,然后使用SecurityErrorEvent错误的定时差异判断端口是否开放。
2. 存在漏洞版本
Adobe Flash Player
3. 解决方法
Flash player官方补丁下载地址:
[url]http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player_9_linux.tar.gz[/url]
下载最新版本,官方下载地址:[url]http://www.adobe.com/products/flash/[/url]
4. 信息来源
[url]http://www.sebug.net/vulndb/2661[/url]
[url]http://rhn.redhat.com/errata/RHSA-2007-1126.html[/url]
【Skype 】
1. 漏洞说明
Skype的ActiveX控件运行环境设置上存在漏洞,远程攻击者可能利用此漏洞在用户系统上执行任意指令。
Skype使用了Internet Explorer Web控件来渲染HTML内容并提供“add video to mood”和“add video to chat”功能。这些功能都是通过JS/ActiveX接口实现的,允许在IE的Local Zone安全环境中运行脚本。由于这个安全环境的安全级别设置比较低,因此如果用户受骗访问了恶意站点的话,就可能导致在用户机器上执行任意指令。
2. 存在漏洞版本
Skype Skype 3.6 3.5
3. 解决方法
目前官方尚未提供新版本解决该漏洞,可暂时卸载该版本或采用如下临时解决办法
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown注册表项,包含DWORD值Skype.exe,并将Value设置为
或者,将以下文本保存为.REG文件并导入注册表:
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LocalMachine_Lockdown]
"Skype.exe"=dword:00000001
----------------------------------
4. 信息来源
[url]http://www.sebug.net/vulndb/2879[/url]
【QuickTime】
1. 漏洞说明
QuickTime在填充包含有连接状态信息的LCD类屏幕时存在缓冲区溢出漏洞,远程恶意服务器可能利用此漏洞控制用户系统。
2. 存在漏洞版本
Apple QuickTime Player ≤7.3.1.70
3. 解决方法
目前官方还没有提供补丁或者升级程序,建议您暂时卸载该软件版本或者关注官方新版本发布。
4. 信息来源
[url]http://www.sebug.net/vulndb/2809[/url]
【超星阅读器】
1. 漏洞说明
漏洞发生在超星阅览器的一个activex控件上,当安装了超星阅览器的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。
2. 存在漏洞版本
超星阅览器4.0
3. 解决方法
目前官方尚未提供新版本解决该漏洞,可暂时卸载该版本或采用如下临时解决办法
将下面内容保存为.reg文件,双击导入注册表:
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\ActiveX Compatibility\{7F5E27CE-4A5C-11D3-9232-0000B48A05B2}]
"Compatibility Flags"=dword:00000400 这些东西好多都在用...
谁见识过这个狗狗的威力?难道比SNOOPY还可怕吗?
页:
[1]