阿里巴巴淘宝旺旺ActiveX远程栈溢出漏洞_安全中国

Summary:

淘宝旺旺是阿里巴巴出名的即时通信软件，主要用于对淘宝网提供IM支持。

http://www.taobao.com/help/wangwang/wangwang.php

在淘宝旺旺中存在一个远程缓冲区溢出漏洞，远程攻击者可利用此漏洞在被攻击者系统上执行任意代码，进而可安装木马以及间谍程序，窃取相关敏感信息比如淘宝帐号/密码，或者支付宝帐号/密码。

Affected Software Versions:

2006年12月22号之前的淘宝旺旺或者某些未升级版本

Details:

漏洞存在于由ActiveX控件"WangWangX3.dll"导出的"RunWangWang()"函数中，相关信息如下：

InprocServer32: WangWangX3.dll
ClassID : 6E213FC7-DD5A-4115-B7E6-D4C7838C361E

[id(0x00000003), helpstring("method RunWangWang")]
long RunWangWang([in] BSTR pWebParam);

当设置超长的pWebParam值，将触发栈溢出，相关代码：

.text:1000174F loc_1000174F: ; CODE XREF: sub_1000166D+DEj
.text:1000174F push edi
.text:10001750 push eax ; "AAAAAAAAAAAAAAAAAAA..."
.text:10001751 lea eax, [ebp-114h]
.text:10001757 push eax ; "D:\淘宝旺旺\WangWang.exe"
.text:10001758 call _strcat ; stack overflow
.text:1000175D lea eax, [ebp-114h]
.text:10001763 push esi ; "\""
.text:10001764 push eax ; char *
.text:10001765 call _strcat

象极了之前的QQ ActiveX溢出。

Vendor Response:

厂商偷偷修复了此漏洞，当前没发现任何更新信息以及安全公告。

Solution:

估计是软件设计的问题，淘宝旺旺自动更新无效，当前仍然有大部分淘宝旺旺用户存在此安全隐患，建议用户通过注册表对相应的CLSID设置Killbit

Disclosure Timeline:

2006.12.10 漏洞被发现
2006.12.11 通知厂商
2006.12.22(左右) 厂商修复漏洞，但未发布任何更新信息以及安全公告
2007.01.15 协商未果，此公告发布

[UPDATE]
淘宝网在2007.01.16以论坛置顶帖子的方式发布了安全建议
http://forum.taobao.com/showThread.htm?thread=7875279&forum=51