记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

软航科技IE插件可导致远程添加IE的信任网站列表

2015-06-21 14:10

软航科技IE插件可导致远程添加IE的信任网站列表

OfficeControl.ocx中提供的功能函数AddDomainToTrustSiteWithReturn可被攻击者利用向用户IE信任网站列表中添加网址,从而使得用户IE信任随后的用来攻击用的网站,这使得IE完全信任网站内容并执行,没有任何提示。

漏洞证明:

视频中演示的是在用户没有主动允许A网站使用a控件,之后用户访问A(或者其他恶意网站页面含有该攻击代码)网站并允许执行软航科技的该控件,随后A网站第一个页面再次被浏览时,a控件直接执行没有任何提示。当然恶意网页内容还有其他很多种类,一旦地址被加入到信任网站列表中,则可肆无忌惮的直接执行



http://1drv.ms/1BLxkNJ

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-0101845

阅读:66182 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“软航科技IE插件可导致远程添加IE的信任网站列表”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云