漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0117961
漏洞标题:迅雷PC端(迅雷7.x&迅雷极速版)全系列最新版本通杀,可被中间人攻击利用植入木马
相关厂商:迅雷
漏洞作者: 内谁
提交时间:2015-06-03 14:42
修复时间:2015-09-01 14:56
公开时间:2015-09-01 14:56
漏洞类型:非授权访问/认证绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-03: 厂商已经确认,细节仅向厂商公开
2015-06-06: 细节向第三方安全合作伙伴开放
2015-07-28: 细节向核心白帽子及相关领域专家公开
2015-08-07: 细节向普通白帽子公开
2015-08-17: 细节向实习白帽子公开
2015-09-01: 细节向公众公开
简要描述:
迅雷PC端(迅雷7.x&迅雷极速版)全系列最新版本通杀(迅雷7.x均可、极速版任意版本均可),组件升级过程可被中间人攻击利用,可使得获得更新程序的PC被植入任意DLL文件,形成DLL劫持,执行任意代码。
详细说明:
迅雷在启动后1分钟左右,会主动向服务器GET一个xml文档,URL如下:
http://media.info.client.xunlei.com/ThunderPush/ThunderPush.7.XX.XX.xml
(XX为子版本号,不同的版本,URL不同,但结构相同)。
回应包为一个标准的xml文档,该文档描述了各组件的名称、更新url地址、版本、以及加载方式等信息。
攻击者如果劫持了这个TCP会话,并修改伪造xml文档,插入TCP会话,可以造成任意dll文件被下载的后果,如果根据相对路径来伪造一个zip压缩包的话,则可以形成dll劫持,执行任意代码(修改xml的方法为增加一个节点,name随便,url正确就OK)。
迅雷没有对组件更新文件进行任何校验,仅仅通过xml的描述就去更新组件(连hash都没有做!),且迅雷7以后的任意版本均有这个问题,原来的尊享版也有,后来改为极速版仍然没有改正这个问题!
漏洞证明:
正常的数据包请求及回应截图:
劫持并插入会话后截图:
迅雷7劫持后截图:
迅雷极速版劫持后截图:
伪造的zip包截图:
修复方案:
校验组件文件,修改组件升级方法。
版权声明:转载请注明来源 内谁@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-06-03 14:54
厂商回复:
感谢反馈!
最新状态:
暂无