Microsoft Internet Explorer XML Parsing Heap-Based Buffer Overflow Vulnerability
Une faille non diffusée, mais exploitée, met en danger les utilisateurs du navigateur de Microsoft, Internet Explorer 7. Les pirates seraient chinois.
Websense vient de mettre la main sur un 0Dayz, un exploit privé, permettant de piéger un internaute connecté à Internet. La cible n'a pas besoin de cliquer sur le moindre lien, une simple visite sur un site Internet modifié par un pirate permet d'infiltrer l'ordinateur de la victime.
Cette vulnérabilité exploite un code XML qui joue avec Internet Explorer 7.
Ce 0Dayz a été communiqué, pour la première fois, sur un forum de discussion chinois 24 heures avant que Microsoft ne diffuse la rustine qui colmate cette faille.
La majorité des exploits qui utilisent cette faille téléchargent un cheval de Troie via des serveurs dispersés sur la toile.
Il est fortement conseillé aux utilisateurs de IE7 de corriger leur fureteur.
http://www.zataz.com/news/18248/0day--ie--internet-explorer.html
http://www.microsoft.com/technet/security/bulletin/ms08-073.mspx
Une vulnérabilité de type débordement de tampon dans le tas a été identifiée dans Internet Explorer.
Un attaquant distant pourrait l'exploiter en incitant sa victime à visiter une page web spécialement formée afin de provoquer un déni de service ou exécuter du code arbitraire.
Le problème provient du traitement de balises XML spécialement formées.
Cette vulnérabilité est actuellement exploitée "dans la nature".
Une preuve de concept a été rendue publique.
Mise à jour, 10/12/2008 :
Un code d'exploitation a été publié pour Windows Vista.
Solution
Solution de contournement :
Désactiver le Javascript.
Mise à jour, 10/12/2008 :
Solutions de contournement :
1) positionner les zones Internet et Intranet local en paramètre de sécurité "Haut"
2) configurer Internet Explorer pour demander avant d'exécuter Active Scripting
3) activer DEP (nécessite un processeur support le bit NX/XD)
pour Windows Vista : dans les options avancées du navigateur
pour Windows XP/2003 : onglet "Prévention de l'exécution des données" dans les "Paramètres" de l'onglet "Avancé" des propriétés système
Bloquer l'accès aux serveurs suivants :
17gamo.com
baidu.bbtu01.cn - 61.160.213.194
baidu.bbtu02.cn - 61.160.213.194
baidu.bbtu03.cn - 61.160.213.194
baidu.bbtu04.cn - 61.160.213.194
baidu.bbtu05.cn - 61.160.213.194
baidu.bbtu06.cn - 61.160.213.194
baidu.bbtu07.cn - 61.160.213.194
baidu-baiduxin1.cn - 121.12.173.218
baidu-baiduxin2.cn -
baidu-baiduxin3.cn - 59.34.197.63
baidu-baiduxin4.cn - 121.12.173.218
baidu-baiduxin5.cn - 61.143.211.187
baidu-baiduxin6.cn - 121.12.173.218
baidu-baiduxin7.cn - 121.12.173.218
baidu-baiduxin8.cn - 121.12.173.218
baidu-baiduxin9.cn - 59.34.197.63
baidu-baiduzi1.cn - 121.12.173.218
baidu-baiduzi2.cn - 121.12.173.218
baidu-baiduzi3.cn - 121.12.173.218
baidu-baiduzi4.cn - 121.12.173.218
baidu-baiduzi5.cn - 121.12.173.218
baidu-baiduzi6.cn - 121.12.173.218
baidu-baiduzi7.cn - 121.12.173.218
baidu-baiduzi8.cn - 121.12.173.218
baidu-du1.cn - 59.34.197.63
baidu-du2.cn - 202.108.22.180
baidu-du3.cn - 59.34.197.63
baidu-du4.cn - 59.34.197.63
baidu-du5.cn - 121.12.173.218
baidu-du6.cn - 121.12.173.218
baidu-du7.cn - 59.34.197.63
baidu-du8.cn - 121.12.173.218
baidu-du9.cn - 61.143.211.187
sllwrnm1.cn - 59.34.216.92
sllwrnm2.cn - 59.34.216.92
sllwrnm3.cn -
sllwrnm4.cn - 59.34.216.92
sllwrnm5.cn - 59.34.216.92
sllwrnm6.cn - 59.34.216.92
sllwrnm7.cn - 59.34.216.92
sllwrnm8.cn - 59.34.216.92
sllwrnm9.cn - 59.34.216.92
sllwrnm10.cn - 59.34.216.92
sllwbd1.cn - 61.164.118.209
sllwbd2.cn - 61.164.118.209
sllwbd3.cn - 61.164.118.209
sllwbd4.cn - 59.34.216.92
sllwbd5.cn - 59.34.216.92
sllwbd6.cn - 59.34.216.92
sllwbd7.cn - 59.34.216.92
sllwbd8.cn - 59.34.216.92
sllwbd9.cn - 59.34.216.139
sllwbd10.cn - 59.34.216.92
zlwrnm1.cn -
zlwrnm2.cn -
zlwrnm3.cn -
zlwrnm4.cn -
zlwrnm5.cn - 59.34.216.139
zlwrnm6.cn -
zlwrnm7.cn - 59.34.216.139
zlwrnm8.cn - 59.34.216.139
zlwrnm9.cn - 59.34.216.139
zlwrnm10.cn - 59.34.216.139
zlwrnm11.cn - 59.34.216.139
zlwrnm12.cn - 59.34.216.139
zlwrnm13.cn - 59.34.216.139
zlwrnm14.cn - 59.34.216.139
zlwrnm15.cn - 59.34.216.139
zlwrnm16.cn -
zlwrnm17.cn - 59.34.216.139
zlwrnm18.cn - 59.34.216.139
zlwrnm19.cn - 61.164.118.209
zlwrnm20.cn - 61.164.118.209
360avva.akvvv.cn - 58.53.128.136
vip.4s3w.cn - 121.10.107.233
cc4y7.cn - 58.215.76.155
hhhh8886.cn - 121.12.104.88
qqqqttrr.cn - 121.12.104.88
rrrrrrryyy.cn - 121.12.104.88
wwwwyyyyy.cn - 121.12.104.88
fyesn.cn - 121.10.107.233
baidu.baibai1.cn - 61.160.213.143
baidu.xinlang1.cn - 61.160.213.194
cc4y6.cn - 121.10.107.233
cc4y8.cn - 121.10.107.233
cc4y1.cn - 121.10.107.233
cc4y2.cn - 121.10.107.233
cc4y3.cn - 121.10.107.233
cc4y4.cn - 121.10.107.233
cc4y5.cn - 58.215.76.155
cc4y9.cn - 58.215.76.155
baidu.baibai2.cn - 61.160.213.143
baidu.baibai3.cn - 61.160.213.143
baidu.baibai4.cn - 61.160.213.143
baidu.baibai5.cn - 61.160.213.143
baidu.xinlang2.cn - 61.160.213.143
baidu.xinlang3.cn - 61.160.213.143