当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2010-0366

漏洞标题:国泰君安证券富通页面交易安全控件远程溢出漏洞[2]

相关厂商:国泰君安

漏洞作者: fly@wolvez

提交时间:2010-08-30 00:29

修复时间:2010-09-06 15:00

公开时间:2010-09-06 15:00

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2010-08-30: 细节已通知厂商并且等待厂商处理中
2010-09-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

国泰君安证券网上交易安全登录控件进行了升级,修复了之前CsswebLogin.ocx存在的缓冲区溢出漏洞,但是新引入的ssoLib.dll存在同样的问题。
远程攻击者可能利用此漏洞通过诱使用户访问恶意网页在用户系统上执行任意指令从而获取对系统的完全控制。

详细说明:

文件:ssoLib.dll
版本:1.0.0.1
clsid:FAC87377-9586-4C72-A614-8C9B3CA1BF5B
属性:GetCurrentToken

漏洞证明:

POC or exploit 请联系 phpsec@hotmail.com 索取

修复方案:

建议开发商仔细审查代码,不要多次在同一个问题上跌倒

版权声明:转载请注明来源 fly@wolvez@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2010-09-06 15:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2010-09-06:已修补,准备升级

2010-09-29:已升级


漏洞评价:

评论