封堵暴风影音Ⅱ新漏洞
网络安全
影响版本:暴风影音2.8测试版,以及以前的版本
危害程度:严重
我是一名热衷安全测试的黑客,最近在测试955922.cn网站时拦截了一个网页木马,在参看网站的源代码时,惊奇地发现该网页调用的一个ActiveX控件与暴风影音Ⅱ有关。百度一下发现,这是暴风影音Ⅱ最新的高危漏洞。
该漏洞最大的危害是:就算你不使用暴风影音Ⅱ,访问含有针对该漏洞的网页时,网页木马就悄悄地下载,如果你的安全防护不够,就会被木马控制,你的恶梦就开始了。
导出函数产生溢出是病因
暴风影音Ⅱ的安装目录里面包含一个Sparser.dll文件,此DLL文件的一个导出函数在处理非法超长的URL时发生栈溢出。于是黑客可以通过构造一个网页,来调用该ActiveX控件中的RawParse函数,通过RawParse函数来调用Sarser.dll中存在问题的导出函数,从而导致溢出并执行网页中的任意代码。当网页中的非法代码成功运行以后,就可以让黑客成功控制该远程系统并进行任意的操作。
安全防范手段
通过记事本程序打开生成的网页木马后,知道网页木马调用的ActiveX控件的ID为“clsid:6BE52E1D-E586-474f-A6E2-1A85A9B4D9FB”,我们只要将这个ActiveX控件进行屏蔽即可。
小提示:其实这种方法不但适用于ActiveX控件漏洞,对所有利用ActiveX控件进行入侵的漏洞都可以,关键是我们需要首先做到利用ActiveX控件的ID。
屏蔽的操作方法有很多,比如直接编写注册表文件,但是这种操作不适合普通用户。这里可以使用《Windows优化大师》。启动后点击工具列表中的“系统维护”中的“其它设置选项”。在“禁止浏览网页时安装下列ActiveX控件”选项中点击“添加”按钮,在“ActiveX控件ID”中设置为“暴风影音Ⅱ ActiveX控件”和{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}(见图)。完成后在ActiveX控件列表中选中刚刚增加的CLSID,最后点击“确定”按钮就可以进行防范。
暴风影音官方已经对该漏洞进行了修复。各位暴风影音Ⅱ的用户,只要重新下载最新的暴风影音Ⅱ2.9版(下载地址:http://www.cpcw.com/bzsoft),该版本就没有这个漏洞。