1583,

14/80

koresong

곰플에서 취약점이 발견

http://www.hackerschool.org/HS_Boards/zboard.php?desc=desc&no=888 [복사]

  ###  곰플에서 취약점이 발견 ###

IE6에 XP SP2를 대상으로 작성된 PoC (Proof of Concept) 코드가 모 사이트에 공개되었습니다.
곰플레이어가 설치된 상태에서 인터넷 익스플로러를 사용하시는 분들은 당분간 웹 서핑하실 때
주의하시기 바랍니다. 게시물을 잘못 클릭하면 이상한 프로그램이 다운로드되어 실행될 수 있습니다.
ActiveX를 이용한 공격이므로 ActiveX를 지원하지 않는 브라우저를 사용할 경우 안전합니다.

아래는 해당 PoC 코드의 주석부분입니다.

GOM Player 2.1.6.3499 GomWeb Control (GomWeb3.dll 1.0.0.12) remote buffer
overflow poc exploit (ie6/xp sp2)

quote from Wikipedia: "GOM Player(Gretech Online Movie Player) is South
Korea's most popular media player; as of July 2007, it had 8.4 million users,
compared to 5.4 million of Microsoft's Windows Media Player. Users most
commonly use the player to watch pornography..."
mphhh ...

passing more than 506 "A" to OpenUrl method:

EAX 00000000
ECX 7C80240F kernel32.7C80240F
EDX 7C91EB94 ntdll.KiFastSystemCallRet
EBX 00000000
ESP 0012CDD0 ASCII "AAAAAAAAAAAAAAAAAA...
EBP 0012DE08
ESI 003390B0
EDI 0000102A
EIP 41414141

object safety report:
RegKey Safe for Script: True
RegKey Safe for Init: True
Implements IObjectSafety: True
IDisp Safe:  Safe for untrusted: caller,data
IPersist Safe:  Safe for untrusted: caller,data
IPStorage Safe:  Safe for untrusted: caller,data

software site: http://www.gomplayer.com/main.html

rgod
site: http://retrogod.altervista.org

==================================================

이렇다고 합니다

사용하시는분들은 주의해주세요~

(펌글입니다)

Hit : 10706 Date : 2007/11/01 02:46


qkreoghks00	소스코드가 이해가 되야 심각성을 깨닫죠;; 해석이라도 해주실분~	2007/11/01
image554	곰 플레이어가 실행된 컴퓨터에서 엑티브엑스를 실행할 수있는 브라우져로 위 소스를 로드하게 되면, 사용자의 컴퓨터에 해커가 의도한 프로그램을 실행할 수 있습니다..	2007/11/02
image554	위에는 실제 코드는 없네요.. 씨큐니아에 가시면 exploit코드도 공개되어 있습니다!	2007/11/02
송시	overflow remote attack	2007/11/02
호리에유이	2.1.6.3499 버전 얘기군요. 그럼 2.1.8.3683 버전은요?	2007/11/05
ㄹㄹ	그러니까 firefox가 좋습니다. IE는 당장 버리세요	2007/11/11
검은월아	passing more than 506 "A".. 압박이네요 ㅋㅋ	2007/11/29
jin1055	아무래도 IE초대형개편이 필요하겠네;;;	2007/12/12
moongchiza	밀웜가시면 공개되어있는데 공부좀 하셔야됨 ㅎㅎ	2007/12/26