-
-
[原创]Adobe reader 漏洞CVE-2009-4324初步分析
-
发表于:
2010-1-10 02:34
20696
-
[原创]Adobe reader 漏洞CVE-2009-4324初步分析
文章名称:CVE-2009-4324初步分析
目录:
0x1.漏洞描述
0x2.测试环境
0x3.初步分析
0x3.1.POC样本获取
0x3.2.跟踪调试
0x4.总结
正文:
1.漏洞描述
CVE ID: CVE-2009-4324
Adobe Acrobat和Reader都是非常流行的PDF文件阅读器。
Adobe Reader和Acrobat阅读器支持JavaScript。Doc.media对象的newplayer()方式存在释放后使用漏洞,
可能触发可利用的内存访问破坏。
远程攻击者可以通过使用ZLib压缩流的特制PDF文件来利用这个漏洞,导致执行任意代码。
2.测试环境
系统环境:windws XP SP3_CN
软件环境:Adobe Reader 8.12_CN
工具 :Windbg IDA (本来想用OD,可惜不熟悉)
3.初步分析
3.1.样本获取
从http://downloads.securityfocus.com/vulnerabilities/exploits/adobe_media_newplayer.rb
下载到一个RB文件,导入到Metasploit中,提示有CVE-2009-4324项目
经过一番折腾后,最后得到测试POC样本。
提取出触发漏洞的Javascript 代码,确定关键代码如下:
util.printd("1.345678901.345678901.3456 : 1.31.34", new Date());
util.printd("1.345678901.345678901.3456 : 1.31.34", new Date());
try {this.media.newPlayer(null);} catch(e) {}
util.printd("1.345678901.345678901.3456 : 1.31.34", new Date());
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)