Internet Explorer daxctle.ocx 0day exploit

Il 13 Settembre è stato rilasciata una advisory per Microsoft Multimedia Controls ActiveX (daxctle.ocx) nella funzione CPathCtl::KeyFrame() esiste un errato controllo sui valori in input che può causare un Heap Overflow.
L’autore della scoperta ha rilasciato un PoC, funzionante su Internet Explorer 5.01 e 6 su Windows 2000, XP e 2003, capace di eseguire codice arbitrario durante la visualizzazione di una pagina appositamente creata.

Nella notte tra il 24 e 25 settmbre è stato scoperto un sito Internet che distribuisce una versione modifcata del PoC rilasciato che installa una versione fake di svchost.exe e crea una libreria (%system%\hehesox.dll) la quale resta in ascolto per ricevere comandi da un server remoto.

Consiglio a chi non lo avesse già fatto a disalibitare il DirectAnimation Path. Per farlo basta seguire le isctruzioni di Microsoft presenti nella KB e usare come riferimento il CLSID: {D7A7D7C3-D47F-11d0-89D3-00A0C90833E6}.

 

I commenti sono chiusi.