标签 ‘Web迅雷’ 下的日志

Web迅雷的0day

鬼仔注:黑防6月刊上发出来的,不过我好久没买杂志了,学校附近买不到,我又懒得跑。这个我也没测试,比较讨厌web迅雷,所以机子上没装过web迅雷,谁那里有没升级过的web迅雷,测试下。

来源:破碎流年

thunder_network0day.rar

Tags: ,

Web迅雷(xunlei)0day漏洞曝光

来源:DSW Avert

一、事件分析:
    DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。
    Web迅雷1.7.3.109版之前的版本均受影响。

  根据BCT组织分析,该漏洞产生细节如下:
  WEB讯雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括:
  SetBrowserWindowData:新建浏览器窗口。
  SetConfig:设置WEB讯雷。
阅读全文 »

Tags: ,