Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Un exploit "0-day" publié sur Internet pour la vulnérabilité non-corrigée affectant le moteur XML

décembre 2008 par XMCO PARTNERS

MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day

- Date : 11 Decembre 2008

- Plateforme : Windows

- Programme : Internet Explorer

- Gravité : Urgente

- Exploitation : Avec une page web malicieuse

- Description :

Deux exploits ont été publiés sur des sites spécialisés (pour Windows XP SP3 et Vista). Ces derniers se matérialisent sous la forme de page HTML et exploitent une vulnérabilité non-corrigée affectant la librairie MSHTML.DLL lors du traitement de certains tags XML (balise SPAN).

La visualisation d’une page HTML malicieuse provoque un "heap spray" (débordement de pile). Les deux preuves de concept fonctionnent sous Internet Explorer 7 (version anglaise). Il est probable que des codes d’exploitation français soient prochainement publiés.

Note : Des chinois ont déjà développé un exploit permettant de provoquer le téléchargement d’un virus lors de la visite de la page web. Une fois le malware téléchargé, ce dernier va tenter de télécharger d’autres virus à partir des adresses suivantes :

http://XXXXXXXX.cn/youxi/0.exe
http://XXXXXXXX.cn/youxi/1.exe
http://XXXXXXXX.cn/youxi/2.exe
http://XXXXXXXX.cn/youxi/3.exe
http://XXXXXXXX.cn/youxi/4.exe
http://XXXXXXXX.cn/youxi/5.exe
http://XXXXXXXX.cn/youxi/6.exe
http://XXXXXXXX.cn/youxi/7.exe
http://XXXXXXXX.cn/youxi/8.exe
http://XXXXXXXX.cn/youxi/9.exe
http://XXXXXXXX.cn/youxi/10.exe
http://XXXXXXXX.cn/youxi/11.exe
http://XXXXXXXX.cn/youxi/12.exe
http://XXXXXXXX.cn/youxi/13.exe
http://XXXXXXXX.cn/youxi/14.exe
http://XXXXXXXX.cn/youxi/15.exe
http://XXXXXXXX.cn/youxi/16.exe
http://XXXXXXXX.cn/youxi/17.exe
http://XXXXXXXX.cn/youxi/18.exe
http://XXXXXXXX.cn/youxi/19.exe
http://XXXXXXXX.cn/youxi/20.exe
http://XXXXXXXX.cn/youxi/21.exe
http://XXXXXXXX.cn/youxi/22.exe
http://XXXXXXXX.cn/youxi/23.exe
http://XXXXXXXX.cn/youxi/24.exe
http://XXXXXXXX.cn/youxi/25.exe
http://XXXXXXXX.cn/youxi/26.exe

Une liste de sites exploitant actuellement cette vulnérabilité sont décris dans le lien situé en référence [3]

- Exploit :

Un code d’exploitation est disponible sur notre extranet

- Vulnérable :

* Internet Explorer 7

- Référence :

[1] Version anglaise de Windows XP SP3 : http://www.milw0rm.com/exploits/7403
[2] Version anglaise de Vista : http://www.milw0rm.com/exploits/7410
[3] http ://www.shadowserver.org/wiki/pmwiki.php ?n=Calendar.20081210

- Correction :

Aucun correctif n’est actuellement disponible.

- Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1228993010




Voir les articles précédents

    

Voir les articles suivants