<p dir="ltr">This is a client side bug that was exploited in the wild a lot. You're probably seeing old sites looking for unpatched browsers; if you're confident you have no vulnerable IE running around, you're fine, and this is just noise for you - though not a false positive, per se.</p>

<div class="gmail_quote">On Mar 26, 2013 9:48 PM, "waldo kitty" <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 3/26/2013 11:44, Michael Steele wrote:<br>
> Is it possible users could be spoofing their x browser to appear to be IE?<br>
<br>
spoofing the UA would not trigger the rule in question...<br>
<br>
<br>
/var/snort/rules/web-client.rules:<br>
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Microsoft<br>
Internet Explorer userdata behavior memory corruption attempt";<br>
flow:to_client,established; content:"addBehavior|28|"; nocase;<br>
content:"|23|default|23|userData"; distance:0; nocase;<br>
content:"setAttribute|28|"; distance:0; nocase;<br>
pcre:"/(?P<obj>[A-Z\d_]+)\.addBehavior\x28(?P<q1>\x22|\x27|)[^\x29]*\x23default\x23userData(?P=q1)\x29.*?(?P=obj)\.setAttribute\x28[^,]+,\s*[A-Z]/smi";<br>
metadata:policy balanced-ips drop, policy security-ips drop, service http;<br>
reference:cve,2010-0806; reference:url,<a href="http://support.microsoft.com/kb/980182" target="_blank">support.microsoft.com/kb/980182</a>;<br>
classtype:attempted-user; sid:16482; rev:6;)<br>
<br>
<br>
granted, the above is version 6 of the rule but i doubt it has changed that much<br>
to be UA centric... the CVE and KB probably target the specific browsers in<br>
their writings...<br>
<br>
------------------------------------------------------------------------------<br>
Own the Future-Intel&reg; Level Up Game Demo Contest 2013<br>
Rise to greatness in Intel's independent game demo contest.<br>
Compete for recognition, cash, and the chance to get your game<br>
on Steam. $5K grand prize plus 10 genre and skill prizes.<br>
Submit your demo by 6/6/13. <a href="http://p.sf.net/sfu/intel_levelupd2d" target="_blank">http://p.sf.net/sfu/intel_levelupd2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div>