-
-
[转帖]OllyDbg INT3 AT命令畸形模块名处理漏洞
-
发表于:
2005-5-18 02:29
3336
-
[转帖]OllyDbg INT3 AT命令畸形模块名处理漏洞
OllyDbg是Microsoft Windows平台下的32位汇编级分析调试程序。
OllyDbg在处理代码模块名时存在问题,攻击者可能利用畸形的调试文件对程序进行拒绝服务攻击。
OllyDbg INT3指令在处理特殊模块名时存在漏洞,代码如下:
.text:0042FBE0 lea eax, [ebp+buffer]
.text:0042FBE6 push eax ; format string
.text:0042FBE7 mov edx, [ebp+var_28]
.text:0042FBEA push edx
.text:0042FBEB call sub_42E100 ; _vsprintf->
;___vprinter
在这里格式是类似于以下的ascii字符串:
INT3 command at <module_name>.addr
攻击者可以在<module_name>中放置格式串字符导致Olly覆盖任意数据。
注意:即使选择了IGNORE INT3 BREAKS选项,OllyDbg仍有漏洞。攻击者还可以在调试时加载某些特制模块,使攻击更加隐蔽。
<*来源:Piotr Bania (bania.piotr@gmail.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111599995612519&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
OllyDbg
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://home.t-online.de/home/Ollydbg/
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!