病毒报告：微软MS09-002漏洞分析

2009-2-23塞迪网佚名

【大中小】

Internet Explorer的CFunctionPointer函数没有正确处理文档对象，如果以特定序列附加并删除了对象，就可以触发内存破坏。攻击者可以构造特殊顺序的代码触发这个内存破坏，同时利用精心构造的缓冲区，导致以当前登录用户的权限执行任意代码。

该弱点实际存在于mshtml.dll中。CFunctionPointer对象在其构造函数中没有正确地引用文档对象(标签对象或其它)，导致该文档对象可能在CFunctionPointer对象释放前被释放，而CFunctionPointer会继续使用这个已经被销毁的文档对象。

这是CFunctionPointer的构造函数：

public: __thiscall CFunctionPointer::CFunctionPointer(class CBase *, long)
.text:775E7BE9                 mov     edi, edi
.text:775E7BEB                 push    ebp
.text:775E7BEC                 mov     ebp, esp
.text:775E7BEE                 push    esi
.text:775E7BEF                 mov     esi, ecx
.text:775E7BF1                 call    ??0CBase@@QAE@XZ ; CBase::CBase(void)
.text:775E7BF6                 mov     ecx, [ebp+pOwner]
.text:775E7BF9                 test    ecx, ecx
.text:775E7BFB                 mov     eax, [ebp+pISecurityContext]
.text:775E7BFE                 mov     dword ptr [esi], offset ??
_7CFunctionPointer@@6B@ ; const CFunctionPointer::`vftable'
.text:775E7C04                 mov     [esi+10h], ecx	// 设置关联文档对象

在设置文档对象时，CFunctionPointer的构造函数仅仅是简单的将其赋给[edi+10h]，而没有对其进行引用(AddRef)。

而在CFunctionPointer其他函数中几乎都使用了该关联文档对象指针，例如实现IUnknown::AddRef的CFunctionPointer::PrivateAddRef，实现IUnknown::Release的CFunctionPointer::PrivateRelease。

这是CFunctionPointer::PrivateAddRef函数：

virtual unsigned long CFunctionPointer::PrivateAddRef(void)
.text:775E7A21 arg_0           = dword ptr  8
.text:775E7A21                 mov     edi, edi
.text:775E7A23                 push    ebp
.text:775E7A24                 mov     ebp, esp
.text:775E7A26                 push    esi
.text:775E7A27                 mov     esi, [ebp+arg_0] ; this
.text:775E7A2A                 mov     eax, [esi+10h]	;获得文档对象指针
.text:775E7A2D                 test    eax, eax
.text:775E7A2F                 jz      short loc_775E7A3D
.text:775E7A31                 cmp     dword ptr [esi+4], 0
.text:775E7A35                 jz      short loc_775E7A3D
.text:775E7A37                 mov     ecx, [eax]	;取第一个DWORD,即虚表指针
.text:775E7A39                 push    eax
.text:775E7A3A                call    dword ptr [ecx+4] ;调用+4位置给出的函数,即AddRef

例如在CFunctionPointer::PrivateAddRef中，如果文档对象已经被销毁，那么将获得不可预知的虚表指针，接下来执行call dword ptr [ecx+4]后，将跳转到一个不可预知地址去执行，在一般情况下会导致IE崩溃。

攻击者可以以特定的步骤，使CFunctionPointer对象的关联文档对象在CFunctio nPointer对象释放前被释放，接着再引用该CFunctionPointer对象，致使已经被释放的文档对象被重新使用。

而攻击者又可以以特殊的方式，任意设置被释放文档对象原来所在内存位置的数据(即可构造不正确的虚表)，导致该弱点被扩大到可以被利用于执行任意代码。

标注：作者叶超现为瑞星反病毒研究员。

本文来源：塞迪网作者：佚名

上一篇文章：虚拟盘技术网维行业发展新动向

下一篇文章：设置杀毒软件让系统更顺畅

比较详细的网吧网民数据分析，网吧男的多还是女的多？  在win7环境删除arp病毒的教程   2017年6月20发现的针对腾讯游戏的盗号病毒，网吧注意！
世纪佳缘3·8节发布最全女神择偶报告：更看重对方品味和修养   win7电脑被病毒入侵的症状及解决方法   2016本地生活服务报告：交易规模7291亿到家到店外卖服务兴起
电脑中了ARP病毒导致不能上网的处理办法   世纪佳缘发布2016年度婚恋报告：彩礼起步价新鲜出炉   高德发布2016年度交通报告：二线城市拥堵程度反超一线城市
滴滴发布企业公民报告每天为207万司机提供超160元人均收入

聚合推荐

2022年网吧恢复营业时间网吧卫生网吧电脑配置开网吧网吧键盘网吧配置网吧GHOST ROS 网吧软件故障解决网众无盘网吧游戏菜单网吧活动网吧优化网吧精品网吧新手

声明

声明：本站所发表的文章、评论及图片仅代表作者本人观点，与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益，请作者持权属证明与本网联系，我们将及时更正、删除，谢谢。 Email:support@txwb.com，系统开号，技术支持，服务联系微信：_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品，各位转载时请注明来源链接！

天下网吧·网吧天下