Microsoft Internet Explorer XML Parsing Heap-Based Buffer Overflow Vulnerability

Une faille non diffusée, mais exploitée, met en danger les utilisateurs du navigateur de Microsoft, Internet Explorer 7. Les pirates seraient chinois.

Websense vient de mettre la main sur un 0Dayz, un exploit privé, permettant de piéger un internaute connecté à Internet. La cible n'a pas besoin de cliquer sur le moindre lien, une simple visite sur un site Internet modifié par un pirate permet d'infiltrer l'ordinateur de la victime.

Cette vulnérabilité exploite un code XML qui joue avec Internet Explorer 7.

Ce 0Dayz a été communiqué, pour la première fois, sur un forum de discussion chinois 24 heures avant que Microsoft ne diffuse la rustine qui colmate cette faille.

La majorité des exploits qui utilisent cette faille téléchargent un cheval de Troie via des serveurs dispersés sur la toile.

Il est fortement conseillé aux utilisateurs de IE7 de corriger leur fureteur.

http://www.zataz.com/news/18248/0day--ie--internet-explorer.html

http://www.microsoft.com/technet/security/bulletin/ms08-073.mspx

Une vulnérabilité de type débordement de tampon dans le tas a été identifiée dans Internet Explorer.

Un attaquant distant pourrait l'exploiter en incitant sa victime à visiter une page web spécialement formée afin de provoquer un déni de service ou exécuter du code arbitraire.

Le problème provient du traitement de balises XML spécialement formées.

Cette vulnérabilité est actuellement exploitée "dans la nature".

Une preuve de concept a été rendue publique.

Mise à jour, 10/12/2008 :

Un code d'exploitation a été publié pour Windows Vista.

Solution

Solution de contournement :

Désactiver le Javascript.

Mise à jour, 10/12/2008 :

Solutions de contournement :

1) positionner les zones Internet et Intranet local en paramètre de sécurité "Haut"

2) configurer Internet Explorer pour demander avant d'exécuter Active Scripting

3) activer DEP (nécessite un processeur support le bit NX/XD)

pour Windows Vista : dans les options avancées du navigateur

pour Windows XP/2003 : onglet "Prévention de l'exécution des données" dans les "Paramètres" de l'onglet "Avancé" des propriétés système

Bloquer l'accès aux serveurs suivants :

17gamo.com

www.steoo.com

baidu.bbtu01.cn - 61.160.213.194

baidu.bbtu02.cn - 61.160.213.194

baidu.bbtu03.cn - 61.160.213.194

baidu.bbtu04.cn - 61.160.213.194

baidu.bbtu05.cn - 61.160.213.194

baidu.bbtu06.cn - 61.160.213.194

baidu.bbtu07.cn - 61.160.213.194

baidu-baiduxin1.cn - 121.12.173.218

baidu-baiduxin2.cn -

baidu-baiduxin3.cn - 59.34.197.63

baidu-baiduxin4.cn - 121.12.173.218

baidu-baiduxin5.cn - 61.143.211.187

baidu-baiduxin6.cn - 121.12.173.218

baidu-baiduxin7.cn - 121.12.173.218

baidu-baiduxin8.cn - 121.12.173.218

baidu-baiduxin9.cn - 59.34.197.63

baidu-baiduzi1.cn - 121.12.173.218

baidu-baiduzi2.cn - 121.12.173.218

baidu-baiduzi3.cn - 121.12.173.218

baidu-baiduzi4.cn - 121.12.173.218

baidu-baiduzi5.cn - 121.12.173.218

baidu-baiduzi6.cn - 121.12.173.218

baidu-baiduzi7.cn - 121.12.173.218

baidu-baiduzi8.cn - 121.12.173.218

baidu-du1.cn - 59.34.197.63

baidu-du2.cn - 202.108.22.180

baidu-du3.cn - 59.34.197.63

baidu-du4.cn - 59.34.197.63

baidu-du5.cn - 121.12.173.218

baidu-du6.cn - 121.12.173.218

baidu-du7.cn - 59.34.197.63

baidu-du8.cn - 121.12.173.218

baidu-du9.cn - 61.143.211.187

sllwrnm1.cn - 59.34.216.92

sllwrnm2.cn - 59.34.216.92

sllwrnm3.cn -

sllwrnm4.cn - 59.34.216.92

sllwrnm5.cn - 59.34.216.92

sllwrnm6.cn - 59.34.216.92

sllwrnm7.cn - 59.34.216.92

sllwrnm8.cn - 59.34.216.92

sllwrnm9.cn - 59.34.216.92

sllwrnm10.cn - 59.34.216.92

sllwbd1.cn - 61.164.118.209

sllwbd2.cn - 61.164.118.209

sllwbd3.cn - 61.164.118.209

sllwbd4.cn - 59.34.216.92

sllwbd5.cn - 59.34.216.92

sllwbd6.cn - 59.34.216.92

sllwbd7.cn - 59.34.216.92

sllwbd8.cn - 59.34.216.92

sllwbd9.cn - 59.34.216.139

sllwbd10.cn - 59.34.216.92

zlwrnm1.cn -

zlwrnm2.cn -

zlwrnm3.cn -

zlwrnm4.cn -

zlwrnm5.cn - 59.34.216.139

zlwrnm6.cn -

zlwrnm7.cn - 59.34.216.139

zlwrnm8.cn - 59.34.216.139

zlwrnm9.cn - 59.34.216.139

zlwrnm10.cn - 59.34.216.139

zlwrnm11.cn - 59.34.216.139

zlwrnm12.cn - 59.34.216.139

zlwrnm13.cn - 59.34.216.139

zlwrnm14.cn - 59.34.216.139

zlwrnm15.cn - 59.34.216.139

zlwrnm16.cn -

zlwrnm17.cn - 59.34.216.139

zlwrnm18.cn - 59.34.216.139

zlwrnm19.cn - 61.164.118.209

zlwrnm20.cn - 61.164.118.209

360avva.akvvv.cn - 58.53.128.136

vip.4s3w.cn - 121.10.107.233

cc4y7.cn - 58.215.76.155

hhhh8886.cn - 121.12.104.88

qqqqttrr.cn - 121.12.104.88

rrrrrrryyy.cn - 121.12.104.88

wwwwyyyyy.cn - 121.12.104.88

fyesn.cn - 121.10.107.233

baidu.baibai1.cn - 61.160.213.143

baidu.xinlang1.cn - 61.160.213.194

cc4y6.cn - 121.10.107.233

cc4y8.cn - 121.10.107.233

cc4y1.cn - 121.10.107.233

cc4y2.cn - 121.10.107.233

cc4y3.cn - 121.10.107.233

cc4y4.cn - 121.10.107.233

cc4y5.cn - 58.215.76.155

cc4y9.cn - 58.215.76.155

baidu.baibai2.cn - 61.160.213.143

baidu.baibai3.cn - 61.160.213.143

baidu.baibai4.cn - 61.160.213.143

baidu.baibai5.cn - 61.160.213.143

baidu.xinlang2.cn - 61.160.213.143

baidu.xinlang3.cn - 61.160.213.143