Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Un exploit "0-day" publié sur Internet pour la vulnérabilité non-corrigée affectant le moteur XML

décembre 2008 par XMCO PARTNERS

MS Internet Explorer XML Parsing Buffer Overflow Exploit (vista) 0day

 Date : 11 Decembre 2008

 Plateforme : Windows

 Programme : Internet Explorer

 Gravité : Urgente

 Exploitation : Avec une page web malicieuse

 Description :

Deux exploits ont été publiés sur des sites spécialisés (pour Windows XP SP3 et Vista). Ces derniers se matérialisent sous la forme de page HTML et exploitent une vulnérabilité non-corrigée affectant la librairie MSHTML.DLL lors du traitement de certains tags XML (balise SPAN).

La visualisation d’une page HTML malicieuse provoque un "heap spray" (débordement de pile).
Les deux preuves de concept fonctionnent sous Internet Explorer 7 (version anglaise). Il est probable que des codes d’exploitation français soient prochainement publiés.

Note : Des chinois ont déjà développé un exploit permettant de provoquer le téléchargement d’un virus lors de la visite de la page web.
Une fois le malware téléchargé, ce dernier va tenter de télécharger d’autres virus à partir des adresses suivantes :

http://XXXXXXXX.cn/youxi/0.exe
http://XXXXXXXX.cn/youxi/1.exe
http://XXXXXXXX.cn/youxi/2.exe
http://XXXXXXXX.cn/youxi/3.exe
http://XXXXXXXX.cn/youxi/4.exe
http://XXXXXXXX.cn/youxi/5.exe
http://XXXXXXXX.cn/youxi/6.exe
http://XXXXXXXX.cn/youxi/7.exe
http://XXXXXXXX.cn/youxi/8.exe
http://XXXXXXXX.cn/youxi/9.exe
http://XXXXXXXX.cn/youxi/10.exe
http://XXXXXXXX.cn/youxi/11.exe
http://XXXXXXXX.cn/youxi/12.exe
http://XXXXXXXX.cn/youxi/13.exe
http://XXXXXXXX.cn/youxi/14.exe
http://XXXXXXXX.cn/youxi/15.exe
http://XXXXXXXX.cn/youxi/16.exe
http://XXXXXXXX.cn/youxi/17.exe
http://XXXXXXXX.cn/youxi/18.exe
http://XXXXXXXX.cn/youxi/19.exe
http://XXXXXXXX.cn/youxi/20.exe
http://XXXXXXXX.cn/youxi/21.exe
http://XXXXXXXX.cn/youxi/22.exe
http://XXXXXXXX.cn/youxi/23.exe
http://XXXXXXXX.cn/youxi/24.exe
http://XXXXXXXX.cn/youxi/25.exe
http://XXXXXXXX.cn/youxi/26.exe

Une liste de sites exploitant actuellement cette vulnérabilité sont décris dans le lien situé en référence [3]

 Exploit :

Un code d’exploitation est disponible sur notre extranet

 Vulnérable :

* Internet Explorer 7

 Référence :

[1] Version anglaise de Windows XP SP3 : http://www.milw0rm.com/exploits/7403
[2] Version anglaise de Vista : http://www.milw0rm.com/exploits/7410
[3] http ://www.shadowserver.org/wiki/pmwiki.php ?n=Calendar.20081210

 Correction :

Aucun correctif n’est actuellement disponible.

 Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1228993010


Voir les articles précédents

    

Voir les articles suivants