-
-
Microsoft Internet Explorer execCommand Use-After-Free Vulnerability Analyze
-
发表于: 2012-9-19 00:14
-
Microsoft Internet Explorer execCommand Use-After-Free Vulnerability Analyze
written by h4ckmp
a58K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8Q4x3X3g2I4M7g2)9J5k6h3y4G2L8g2)9J5c8X3R3@1j5$3E0E0M7l9`.`.
欢迎讨论各种漏洞问题.
漏洞信息
Internet Explorer在打开攻击页面时,CMshtmlEd对象被删除并释放,且释放后的内存被重用,导致Use-After-Free.
受影响系统:
Microsoft Internet Explorer 9.x
Microsoft Internet Explorer 8.x
Microsoft Internet Explorer 7.x
发布时间:
2012-09-17
漏洞来源信息:
becK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2J5L8$3#2S2L8X3N6Q4x3X3g2*7j5i4c8S2P5W2)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3e0u0Q4x3V1j5H3z5g2)9J5c8U0p5$3i4K6u0r3P5X3g2J5L8#2)9J5k6r3c8S2P5g2)9J5k6s2y4W2j5i4y4G2L8W2)9J5k6r3W2K6i4K6u0V1M7X3g2S2L8r3I4&6i4K6u0V1L8X3!0@1i4K6u0V1L8%4k6W2M7W2)9J5k6s2W2W2N6q4)9J5c8R3`.`.
漏洞类型:
Use-After-Free
crash info
使用IE打开exploit.htm, 发生异常, 堆栈情况如下
漏洞分析
异常产生在CMshtmlEd::Exec(), 原因是由于objMshtmlEd被覆盖, 导致虚函数寻址调用时被控制
查看POC中代码, document.execCommand("SelectAll") 执行时会调用CBase::execCommand()函数, 第一个参数为要执行命令的字符串, 函数中会检查要执行的命令是否有效.
在mshtml!CEditRouter::ExecEditCommand.函数中会调用CEditRouter::SetInternalEditHandler来设置命令事件handler, 并创建一个MshtmlEd对象
mshtml!CEditRouter::SetInternalEditHandler函数内部调用mshtml!CDoc::GetHTMLEditor 获取页面中的Editor, 通过mshtml!CHTMLEditor::AddCommandTarget来创建并初始化一个命令事件.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
先回帖再学习
|
|
|
 碉堡了~~这个是0day啊
|
|
|
为什么用JRE来绕过DEP不靠谱了
|
|
|
不是用JRE来绕过DEP不靠谱
只是MSF上的用JRE的样本我怎么都没法触发 
|
|
|
|
|
|
|
|
|
|
|
|
|
