微软MS09-002漏洞技术分析报告

互联网 | 编辑: 杨剑锋 2009-02-20 15:54:00转载-投稿

瑞星反病毒研究员叶超

Internet Explorer的CFunctionPointer函数没有正确处理文档对象，如果以特定序列附加并删除了对象，就可以触发内存破坏。攻击者可以构造特殊顺序的代码触发这个内存破坏，同时利用精心构造的缓冲区，导致以当前登录用户的权限执行任意代码。

该弱点实际存在于mshtml.dll中。CFunctionPointer对象在其构造函数中没有正确地引用文档对象（标签对象或其它），导致该文档对象可能在CFunctionPointer对象释放前被释放，而CFunctionPointer会继续使用这个已经被销毁的文档对象。

这是CFunctionPointer的构造函数:
public: __thiscall CFunctionPointer::CFunctionPointer(class CBase *, long)
.text:775E7BE9                 mov     edi, edi
.text:775E7BEB                 push    ebp
.text:775E7BEC                 mov     ebp, esp
.text:775E7BEE                 push    esi
.text:775E7BEF                 mov     esi, ecx
.text:775E7BF1                 call    ??0CBase@@QAE@XZ ; CBase::CBase(void)
.text:775E7BF6                 mov     ecx, [ebp+pOwner]
.text:775E7BF9                 test    ecx, ecx
.text:775E7BFB                 mov     eax, [ebp+pISecurityContext]
.text:775E7BFE                 mov     dword ptr [esi], offset ??_7CFunctionPointer@@6B@ ; const CFunctionPointer::`vftable'
.text:775E7C04                 mov     [esi+10h], ecx // 设置关联文档对象

在设置文档对象时，CFunctionPointer的构造函数仅仅是简单的将其赋给[edi+10h]，而没有对其进行引用(AddRef)。

而在CFunctionPointer其他函数中几乎都使用了该关联文档对象指针，例如实现IUnknown::AddRef的CFunctionPointer::PrivateAddRef,实现IUnknown::Release的CFunctionPointer::PrivateRelease。

这是CFunctionPointer::PrivateAddRef函数:
virtual unsigned long CFunctionPointer::PrivateAddRef(void)
.text:775E7A21 arg_0           = dword ptr 8
.text:775E7A21                 mov     edi, edi
.text:775E7A23                 push    ebp
.text:775E7A24                 mov     ebp, esp
.text:775E7A26                 push    esi
.text:775E7A27                 mov     esi, [ebp+arg_0] ; this
.text:775E7A2A                 mov     eax, [esi+10h] ;获得文档对象指针
.text:775E7A2D                 test    eax, eax
.text:775E7A2F                 jz      short loc_775E7A3D
.text:775E7A31                 cmp     dword ptr [esi+4], 0
.text:775E7A35                 jz      short loc_775E7A3D
.text:775E7A37                 mov     ecx, [eax] ;取第一个DWORD,即虚表指针
.text:775E7A39                 push    eax
.text:775E7A3A                call    dword ptr [ecx+4] ;调用+4位置给出的函数,即AddRef

例如在CFunctionPointer::PrivateAddRef中，如果文档对象已经被销毁，那么将获得不可预知的虚表指针，接下来执行call dword ptr [ecx+4]后，将跳转到一个不可预知地址去执行，在一般情况下会导致IE崩溃。

攻击者可以以特定的步骤，使CFunctionPointer对象的关联文档对象在CFunctio nPointer对象释放前被释放，接着再引用该CFunctionPointer对象，致使已经被释放的文档对象被重新使用。

而攻击者又可以以特殊的方式，任意设置被释放文档对象原来所在内存位置的数据（即可构造不正确的虚表），导致该弱点被扩大到可以被利用于执行任意代码。

每日精选

ROG游戏手机9系列新品发布会直播

ROG游戏手机9系列11月19日19:00新品发布，反正超AI玩！等你来看！

标签：游戏手机| ROG9| 发布会| 直播| 2024-11-19
极米科技再获国内知名汽车主机厂车载投影定点通知

宜宾极米将成为该主机厂车载投影仪的开发定点供应商，为其项目供应智能座舱显示产品。项目生命周期内，将对极米科技业绩产生积极影响。

标签：极米| 汽车| 2024-11-15
极摩客上新EVO-X1迷你主机配锐龙AI 9 HX 370+Oculink

极摩客上新了EVO-X1迷你主机，搭载锐龙AI 9 HX370处理器，配有Oculink接口，首发价5299元。

标签：极摩客| 迷你主机| 2024-11-15
iQOO Neo10外观曝光：镜头模组变为一体性设计

iQOO Neo产品经理“Neo_贝塔”曝光了iQOO Neo10系列手机的渲染图。iQOO Neo10的屏幕边框采用了扁平设计，并且与机身背面进行了平滑过渡，这样的设计不仅美观，还能提供更加舒适的手感。

标签： iQOO| Neo| 10| 外观| 曝光| 2024-11-15
前三季度中国电子纸平板线上爆发式增长销量111.8万台

中国市场前三季度电子纸平板的出货量为148.2万台，同比增长128.4%。大部分的销量仍集中于线上，特别是内容电商的爆发式增长拉高了线上渠道的占比。

标签：电子纸| 2024-11-15
引领豪华MPV新趋势比亚迪夏内饰科技广州车展首发

比亚迪第五代DM技术中大型旗舰MPV夏内饰科技在广州车展正式发布，从技术、平台、安全、设计、空间、智享、智驾七大维度，全面引领豪华MPV新趋势，将于2025年一季度上市。

标签：比亚迪| 夏| MPV| 广州车展| 2024-11-15
余承东说漏嘴了华为Mate 70系列26号发布

在11月15日广州车展中，华为余承东在直播活动中意外透露了华为Mate 70系列的发布时间，新机将在11月26日正式推出。

标签：华为| 华为Mate70| 余承东| 发布| 2024-11-15
红魔10 Pro上手体验：风扇加持，堪称游戏党梦中情机

红魔10 Pro以独特的设计、出色的性能与稳定的影像表现，成为当前电竞旗舰手机中的佼佼者。它不仅是行业中少有的背部纯平设计，搭配6.85寸全面屏，带来极具视觉冲击的体验，整体外观显得更加规整、精致。

标签：红魔| 10| Pro| 带来| 极致| 2024-11-19
OPPO Pad 3即将登场 2.8K原彩仿书柔光屏，学生党必备

OPPO发布了OPPO Pad 3平板新品的外观图，拥有星轨亮银、霞光紫、夜幕蓝、三个配色。

标签： OPPO| OPPOPad3| 平板| 2024-11-15
Q3中国智能盒子线上零售量同比-5.5% 小米市场份额13.1%

2024年第三季度，中国智能盒子线上市场的零售量为31.2万台，同比下降5.5%，环比增长22.0%。

标签：小米| 智能盒子| 2024-11-15