xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version

[AD_LAB-04004] Microsoft Windows LoadImage API 整数溢出触发缓冲区溢出


创建时间:2004-12-23 更新时间:2004-12-23
文章属性:原创
文章提交:flashsky (flashsky1_at_sina.com)

[安全通告]
通告:[AD_LAB-04004] Microsoft Windows LoadImage API 整数溢出触发缓冲区溢出
分类:范围检查错误
日期:12/20/2004
远程:允许远程攻击者通过WEB页面攻击
CVE编号:
受威胁的系统:
    Windows NT
    Windows 2000 SP0
    Windows 2000 SP1
    Windows 2000 SP2
    Windows 2000 SP3
    Windows 2000 SP4
    Windows XP SP0
    Windows XP SP1
    Windows 2003
未受威胁的系统:
    windows xp sp2
厂商:
    www.microsoft.com

1.漏洞描述:
       WINDOWS的USER32库的LoadImage系统API 存在着整数溢出触发的缓冲区溢出漏洞,这个API允许加载一个bmp,cur,ico,ani格式的图标
   来进行显示,并根据图片格式里说明的大小加4来进行数据的拷贝,如果将图片格式里说明的大小设置为0xfffffffc-0xffffffff,则将触发
   整数溢出导致堆缓冲区被覆盖。攻击者可以构造恶意的bmp,cur,ico,ani格式的文件,嵌入到HTML页面,邮件中,发送给被攻击者,成功利
   用该漏洞则可以获得系统的权限。

2.技术细节:
       LoadImage函数的定义如下
       HANDLE LoadImage(      
        HINSTANCE hinst,
        LPCTSTR lpszName,
        UINT uType,
        int cxDesired,
        int cyDesired,
        UINT fuLoad);
      lpszName参数是用户指定的图标文件,uType参数可以指定为IMAGE_BITMAP加载一个BMP文件,IMAGE_CURSOR加载一个cur或ani文件,
   IMAGE_ICON加载一个ico文件。
      在LoadImage内部对这bmp,cur,ico,ani格式的长度的解析并没有做有效的检查,产生错误的代码如下:
      由ANI或CUR触发的时候:
          .text:77D56178                 mov     eax, [ebx+8]                   <------------读取我们设置的值
    .text:77D5617B                 mov     [ebp+dwResSize], eax        
    .text:77D5617E                 jnz     short loc_77D56184
    .text:77D56180                 add     [ebp+dwResSize], 4             <------------加4,整数溢出
    .text:77D56184
    .text:77D56184 loc_77D56184:                           ; CODE XREF: sub_77D5608F+EFj
    .text:77D56184                 push    [ebp+dwResSize]                 <-----------分配错误的堆内存
    .text:77D56187                 push    0
    .text:77D56189                 push    dword_77D5F1A0
    .text:77D5618F                 call    ds:RtlAllocateHeap

      其后的数据拷贝则是按我们给定的值进行拷贝,导致了堆的溢出。
          .text:77D561A9                 mov     ecx, [ebx+8]
    .text:77D561AC                 mov     esi, [ebx+0Ch]
    .text:77D561AF                 add     esi, [ebp+arg_0]
    .text:77D561B2                 mov     edx, ecx
    .text:77D561B4                 shr     ecx, 2
    .text:77D561B7                 mov     edi, eax
    .text:77D561B9                 rep movsd
    .text:77D561BB                 mov     ecx, edx
    .text:77D561BD                 and     ecx, 3
    .text:77D561C0                 rep movsb

     相应的,在处理ico,bmp图片的时候,一样存在着该漏洞,对应的错误代码不再一一显示出。
     可以通过访问 http://www.xfocus.net/flashsky/icoExp/index.html 来验证此漏洞
    
3.感谢:
     Flashsky (fangxing@venustech.com.cn;flashsky@xfocus.org)发现并公布了此漏洞的具体技术细节    
     感谢启明星辰技术信息有限公司积极防御实验室的伙伴和丰收项目小组。

4.申明:
    
The information in this bulletin is provided "AS IS" without warranty of any
kind. In no event shall we be liable for any damages whatsoever including direct,
indirect, incidental, consequential, loss of business profits or special damages.

Copyright 1996-2004 VENUSTECH. All Rights Reserved. Terms of use.

VENUSTECH Security Lab
VENUSTECH INFORMATION TECHNOLOGY CO.,LTD(http://www.venustech.com.cn)

          Security
Trusted  {Solution} Provider
          Service