|
转帖:暴风影音处理畸形URL远程代码执行漏洞
近日,安天实验室反病毒监测网发现,目前国内用户使用较多的媒体播放软件,暴风影
音存在溢出漏洞,该漏洞可导致远程代码执行。攻击者利用这个漏洞就可以完全控制用户的
系统。
该漏洞的起因是,暴风影音主程序调用sparser.dll的一个函数,处理畸形URL时,会导致溢出。所以远程攻击者可以利用这个漏洞构建恶意文件,并通过恶意网页进行传播,从而完全控制受影响的系统。
安天实验室CERT近期发现了多起利用该漏洞挂马的恶意事件,针对该漏洞的攻击代码也已经在互联网中公开。因此,预计在近期内利用该漏洞的攻击行为就会频繁出现。攻击者可以利用该漏洞来盗取用户的IM软件,网银,网游帐号等敏感信息。
该漏洞将影响到所有使用微软Internet Explorer 6/Internet Explorer 7浏览器的用户,目前暴风影音官方尚未发布修补程序。在此,安天CERT建议广大用户采用如下措施保护系统
安全: 1.开启木马防线的实时监控,及时升级您的病毒库。
2.临时使用非IE内核的浏览器(Firefox,Opera 浏览器)。 相关链接请参见:http://antiy.com/security/alarm/20070911.htm
| 
转播
分享
淘帖
分享到新浪微博
