阿里巴巴淘宝旺旺ActiveX远程栈溢出漏洞

by cocoruder(frankruder_at_hotmail.com)
T8D%_"v6cS2M'F\0http://ruder.cdut.net
.J
M_7D5q8L%}0我爱贵溪!f3D0]fQ2V$q6k
Summary: 我爱贵溪 F|8v4V{
    淘宝旺旺是阿里巴巴出名的即时通信软件，主要用于对淘宝网提供IM支持。 我爱贵溪3]hLU9K)O[

5A_&O[.g;Ym0    http://www.taobao.com/help/wangwang/wangwang.php
W8_[.G1cT$Lk.W `0
,_u!Z9GO4H0    在淘宝旺旺中存在一个远程缓冲区溢出漏洞，远程攻击者可利用此漏洞在被攻击者系统上执行任意代码，进而可安装木马以及间谍程序，窃取相关敏感信息比如淘宝帐号/密码，或者支付宝帐号/密码。
M1p%e7^ Q$`H0我爱贵溪&L)@t d(b
Affected Software Versions:
beW^U5r"aa0我爱贵溪a-KW \yI@8mP
    2006年12月22号之前的淘宝旺旺或者某些未升级版本 我爱贵溪-_|zd$Qfa)O,Uss
我爱贵溪'M @ I x:~#D gLg/c
Details:
8K w#{7WO0   
`?H;e*b,JQ0    漏洞存在于由ActiveX控件"WangWangX3.dll"导出的"RunWangWang()"函数中，相关信息如下： 我爱贵溪\7]t~&V0n
我爱贵溪6[8T:|
lk-f4`F
    InprocServer32:    WangWangX3.dll 我爱贵溪E;Ir j;[5Bm2JP
    ClassID      :    6E213FC7-DD5A-4115-B7E6-D4C7838C361E
5egG2e/KL0
7Cd
Y^Qc;O0    [id(0x00000003), helpstring("method RunWangWang")]
(W;AH;PnkL1S0    long RunWangWang([in] BSTR pWebParam); 我爱贵溪9J2dQ8rl3[0D)j$Hz

/B:z^'DwHZ"Lf0    当设置超长的pWebParam值，将触发栈溢出，相关代码：
]-s[Ub:Z_O?0我爱贵溪jsTiV
uLB
    .text:1000174F loc_1000174F:                          ; CODE XREF: sub_1000166D+DEj
9nVcnv.yn[%s M0    .text:1000174F                push    edi
K?5N.m6E0V5Y}E0    .text:10001750                push    eax            ; "AAAAAAAAAAAAAAAAAAA..." 我爱贵溪LHar)I&^?2wUk
    .text:10001751                lea    eax, [ebp-114h]
fd_s5vDQ0    .text:10001757                push    eax            ; "D:\淘宝旺旺\WangWang.exe" 我爱贵溪
~'j%ZjKm']8A0^
    .text:10001758                call    _strcat        ; stack overflow
}
vuxH]4xV4]0    .text:1000175D                lea    eax, [ebp-114h]

DKX#a Le.C4G:gNdq0    .text:10001763                push    esi            ; "\""
ca_.iP$q#S v9X0    .text:10001764                push    eax            ; char *
6cxJ3Y/E"J$p+N.A)I0    .text:10001765                call    _strcat 我爱贵溪e#S'd5g%`*dx
我爱贵溪+k4j*j8GC;Rs7LL
    象极了之前的QQ ActiveX溢出。
+EQB\9]H:n x@0
Ad d0C"D]0Vendor Response:   
8u1J \0\'V)O?$x"Z0    厂商偷偷修复了此漏洞，当前没发现任何更新信息以及安全公告。 我爱贵溪,h8G_P\y

t5hN3F~S0Solution:
+d'`+`n9bIJ0    估计是软件设计的问题，淘宝旺旺自动更新无效，当前仍然有大部分淘宝旺旺用户存在此安全隐患，建议用户通过注册表对相应的CLSID设置Killbit
/D/D]%N7NU yW,w0我爱贵溪wvP4]A
Disclosure Timeline: 我爱贵溪T7aw2\1hEpC

wogOy A0    2006.12.10        漏洞被发现 我爱贵溪|d8KaW4V
    2006.12.11        通知厂商 我爱贵溪m3Ev3G.?+{Qz
    2006.12.22(左右)    厂商修复漏洞，但未发布任何更新信息以及安全公告 我爱贵溪7Fq.?9tN/G2~
    2007.01.15        协商未果，此公告发布
3nk*WhfF8Q}XU0
8|
E4G0C:[ _|A9U0
;~t5Xl0O m0淘宝网在2007.01.16以论坛置顶帖子的方式发布了安全建议