文档创建:2007年02月09日
最后更改:2006年02月09日
cocoruder去年底向阿里巴巴报了一个淘宝旺旺activex控件溢出的漏洞:
结果阿里巴巴偷偷把漏洞补了,但是不肯发公告。
有了这个教训,前两天cocoruder发现支付宝登陆控件代码执行漏洞的时候就直接公布了:
阿里巴巴的态度还是一样:偷偷把漏洞补上了。有媒体问阿里巴巴是不是有这回事,阿里巴巴完全否定:
但是今天早晨我发现这篇文章已经不见了。
而且还针对这篇文章请“天威诚信数字认证中心”搞了一个“专家检测”:
最无耻的是,可能因为wlj在文章里引用了我说的“就在2月8号,支付宝控件升级了。如果没问题,升级什么呢。”,阿里巴巴来了这么一句:“为了用户更安全,我们加固了支付宝控件。如果您看到升级提示,请按要求操作。”这种行为不但是对全体支付宝用户的愚弄,也是对我们这些信息安全研究者的侮辱。
阿里巴巴在这里表现最突出的不是欺骗,也不是邪恶,而是愚蠢。认为死不认账就叫作危机公关了,殊不知裤子是遮不住屎的。下面就让我们看看阿里巴巴屁股帘后面藏的东西。
有问题的文件是pta.dll,这个东西属于“activex控件”,只要装了这个东西,你访问的任何网页都可以通过ie浏览器来调用这个控件。也就是说,如果这个控件有问题,你在访问任何网站的时候,都可能被该网站上的恶意网页攻击,在机器上安装木马。这种漏洞并不是什么稀罕东西,最近几年从flash到微软的mediaplayer等都出过很多类似的。而这种漏洞也是目前国内木马最为流行的传播方式。
明白了漏洞是怎么回事,再让我们来看看阿里巴巴的登陆控件到底有没有这个漏洞。是不是像“专家检测”的那样:“并未发现上述问题及其它隐患”。
先让我们来访问淘宝的登陆页面:
现在任何人都可以确定无疑地知道,在2007年2月8日之前,阿里巴巴的支付宝控件的确是有极其严重的漏洞的。
事情到此结束了么?还没有。
我昨晚抽空看了一下修复了漏洞之后的1.0.0.9版本的pta.dll,发现这个文件仍然有问题,虽不至于导致入侵系统,但还是可以导致ie浏览器崩溃。
无论你的支付宝控件是什么版本,即使是最新的,访问下面这个url都会导致ie崩溃:
根据操作系统和ie版本的不同,你可能会看到类似这些的窗口:
那么作为普通用户,如何保护自己呢?
很简单,运行系统的“命令提示符”,在其中输入:
regsvr32/u%systemroot%\system32\aliedit\pta.dll
这样就解除了pta.dll在系统中的注册,任何网页都无法调用它。大家再访问上面的链接就不会崩溃了。