您的位置:首页网络冲浪病毒快报 → 微软MS09-002漏洞分析报告

微软MS09-002漏洞分析报告

时间:2009/2/22 11:46:00来源:本站整理作者:我要评论(0)

Internet Explorer的CFunctionPointer函数没有正确处理文档对象,如果以特定序列附加并删除了对象,就可以触发内存破坏。攻击者可以构造特殊顺序的代码触发这个内存破坏,同时利用精心构造的缓冲区,导致以当前登录用户的权限执行任意代码。
 
   该弱点实际存在于mshtml.dll中。CFunctionPointer对象在其构造函数中没有正确地引用文档对象(标签对象或其它),导致该文档对象可能在CFunctionPointer对象释放前被释放,而CFunctionPointer会继续使用这个已经被销毁的文档对象。
 
这是CFunctionPointer的构造函数:

public: __thiscall CFunctionPointer::CFunctionPointer(class CBase *, long)

.text:775E7BE9                 mov     edi, edi

.text:775E7BEB                 push    ebp

.text:775E7BEC                 mov     ebp, esp

.text:775E7BEE                 push    esi

.text:775E7BEF                 mov     esi, ecx

.text:775E7BF1                 call    ??0CBase@@QAE@XZ ; CBase::CBase(void)

.text:775E7BF6                 mov     ecx, [ebp+pOwner]

.text:775E7BF9                 test    ecx, ecx

.text:775E7BFB                 mov     eax, [ebp+pISecurityContext]

.text:775E7BFE                 mov     dword ptr [esi], offset ??_7CFunctionPointer@@6B@ ; const CFunctionPointer::`vftable'

.text:775E7C04                 mov     [esi+10h], ecx  // 设置关联文档对象

 

在设置文档对象时,CFunctionPointer的构造函数仅仅是简单的将其赋给[edi+10h],而没有对其进行引用(AddRef)。

 

而在CFunctionPointer其他函数中几乎都使用了该关联文档对象指针,例如实现IUnknown::AddRef的CFunctionPointer::PrivateAddRef,实现IUnknown::Release的CFunctionPointer::PrivateRelease。

 

这是CFunctionPointer::PrivateAddRef函数:

virtual unsigned long CFunctionPointer::PrivateAddRef(void)

.text:775E7A21 arg_0           = dword ptr  8

.text:775E7A21                 mov     edi, edi

.text:775E7A23                 push    ebp

.text:775E7A24                 mov     ebp, esp

.text:775E7A26                 push    esi

.text:775E7A27                 mov     esi, [ebp+arg_0] ; this

.text:775E7A2A                 mov     eax, [esi+10h]  ;获得文档对象指针

.text:775E7A2D                 test    eax, eax

.text:775E7A2F                 jz      short loc_775E7A3D

.text:775E7A31                 cmp     dword ptr [esi+4], 0

.text:775E7A35                 jz      short loc_775E7A3D

.text:775E7A37                 mov     ecx, [eax]   ;取第一个DWORD,即虚表指针

.text:775E7A39                 push    eax

.text:775E7A3A                call    dword ptr [ecx+4] ;调用+4位置给出的函数,即AddRef

 

 例如在CFunctionPointer::PrivateAddRef中,如果文档对象已经被销毁,那么将获得不可预知的虚表指针,接下来执行call dword ptr [ecx+4]后,将跳转到一个不可预知地址去执行 ,在一般情况下会导致IE崩溃。

 

    攻击者可以以特定的步骤,使CFunctionPointer对象的关联文档对象在CFunctio nPointer对象释放前被释放,接着再引用该CFunctionPointer对象,致使已经被释放的文档对象被重新使用。
 
    而攻击者又可以以特殊的方式,任意设置被释放文档对象原来所在内存位置的数据(即可构造不正确的虚表),导致该弱点被扩大到可以被利用于执行任意代码。
 

相关视频

    没有数据

相关阅读 微软MS09-002漏洞分析报告lol2019季中英雄之礼活动地址 lol2019MSI季中英雄之礼活动地址微信欢乐斗地主残局困难109关怎么过微信欢乐斗地主残局专家第109关怎么过消除者联盟309关怎么过微信欢乐斗地主残局普通109关怎么过梦幻模拟战时空裂缝9-5怎么打2018lolS8全球总决赛小组赛Day5:RNG 1-0 C9比赛回顾

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 火球病毒是什么意思 火360保险箱如何保护程序 安卓手机病毒Android.KungFu来袭 用户小心流lpk.dll是什么病毒_lpk.dll病毒专杀方法BMW病毒技术深入分析“图片大盗”通过聊天传播 专盗网游账号

人气排行 eset nod32序列号 nod32升级id 2009年8月28lpk.dll是什么病毒_lpk.dll病毒专杀方法最厉害病毒排行榜职业盗号的基本流程试图连接本机的IP端口,该操作被拒绝VBS病毒制造机v1.0 分析报告360保险箱如何保护程序和游戏账号中搜.桌面传媒Deskipn专杀彻底删除办法