Microsoft Internet Explorer 6.0 SP1
Mozilla Firefox 2.0.0.4
- Microsoft Windows XP SP2
IE在安装了Firefox的机器上调用特定的协议处理器时存在命令注入漏洞,远程攻击者可能利用此漏洞在用户机器上执行任意命令。
在Windows系统上,如果安装了Firefox的话,Firefox会安装一些Mozilla专用协议(如FirefoxURL和FirefoxHTML)的协议处理器。如果Windows遇到了无法处理的URL协议,就会在Windows注册表中搜索适当的协议处理器,找到了正确的处理器后就会向其传送URL字符串,但没有执行任何过滤。
假设在Windows系统上安装了Firefox且注册了FirefoxURL协议处理器,通常这个协议处理器的的shell open命令如下:
[HKEY_CLASSES_ROOTFirefoxURLshellopencommand@]
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE -url “%1″ -requestPending
当Internet Explorer遇到了对FirefoxURL URL方案中内容的引用时,会以EXE镜像路径调用ShellExecute,并未经任何输入验证便传送了整个请求URI。以下请求:
FirefoxURL://foo” –argument “my value
会导致使用以下命令行启动Firefox:
“C:PROGRA~1MOZILL~2FIREFOX.EXE” -url “firefoxurl://foo” –argument “my value/” –requestPending
因此可以对firefox.exe进程指定任意参数,这就等于获得了-chrome命令行参数,因为攻击者可以指定任意Javascript代码,然后以可信任Chrome内容的权限执行。
