Microsoft Internet Explorer execCommand Use-After-Free Vulnerability Analyze-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

Microsoft Internet Explorer execCommand Use-After-Free Vulnerability Analyze

发表于: 2012-9-19 00:14 6216

Microsoft Internet Explorer execCommand Use-After-Free Vulnerability Analyze

dEARMoON

2012-9-19 00:14

6216

written by h4ckmp
http://t.qq.com/h4ckmp
欢迎讨论各种漏洞问题.

漏洞信息
Internet Explorer在打开攻击页面时，CMshtmlEd对象被删除并释放，且释放后的内存被重用，导致Use-After-Free.

受影响系统：
Microsoft Internet Explorer 9.x
Microsoft Internet Explorer 8.x
Microsoft Internet Explorer 7.x
发布时间：
2012-09-17
漏洞来源信息：
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
漏洞类型：
Use-After-Free

crash info
使用IE打开exploit.htm, 发生异常, 堆栈情况如下

漏洞分析
异常产生在CMshtmlEd::Exec(), 原因是由于objMshtmlEd被覆盖, 导致虚函数寻址调用时被控制

查看POC中代码, document.execCommand("SelectAll") 执行时会调用CBase::execCommand()函数, 第一个参数为要执行命令的字符串, 函数中会检查要执行的命令是否有效.

在mshtml!CEditRouter::ExecEditCommand.函数中会调用CEditRouter::SetInternalEditHandler来设置命令事件handler, 并创建一个MshtmlEd对象

mshtml!CEditRouter::SetInternalEditHandler函数内部调用mshtml!CDoc::GetHTMLEditor 获取页面中的Editor, 通过mshtml!CHTMLEditor::AddCommandTarget来创建并初始化一个命令事件.

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

1.png （16.98kb，325次下载）
2.png （1.78kb，323次下载）
3.png （4.38kb，322次下载）
4.png （5.24kb，12次下载）
5.png （3.01kb，10次下载）
6.png （1.79kb，322次下载）
7.png （10.92kb，4次下载）
8.png （18.94kb，16次下载）
9.png （3.91kb，324次下载）

收藏・7

免费・6

支持

最新回复 (10)
akingh 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	akingh 2 楼分析的很好可惜不懂行- - 2012-9-19 03:10 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 3 楼赞，又见高水平分析。楼主对IE逆向得很透彻。 2012-9-19 09:59 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 4 楼先回帖再学习 2012-9-19 10:09 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 5 楼碉堡了~~这个是0day啊 2012-9-19 11:46 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 6 楼为什么用JRE来绕过DEP不靠谱了 2012-9-19 11:47 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 7 楼不是用JRE来绕过DEP不靠谱只是MSF上的用JRE的样本我怎么都没法触发 2012-9-19 12:06 0
寂寞如刀雪币： 58 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	寂寞如刀 1 8 楼楼主给个POC供下载吧. 2012-9-19 14:52 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 9 楼 MSF已经更新了。。 2012-9-20 10:33 0
亡灵巫师雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	亡灵巫师 10 楼 msf上的poc测试发现,xp sp3+IE8失败,win7+IE9失败. 但是xp sp3英文版+ie8测试成功. 2012-9-25 16:15 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 11 楼试试我这个poc呢~ CVE-2012-4969.rar 上传的附件： CVE-2012-4969.rar （0.44kb，58次下载） 2012-9-25 19:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dEARMoON

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
akingh 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	akingh 2 楼分析的很好可惜不懂行- - 2012-9-19 03:10 0
打狗棒雪币： 72 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	打狗棒 3 楼赞，又见高水平分析。楼主对IE逆向得很透彻。 2012-9-19 09:59 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 4 楼先回帖再学习 2012-9-19 10:09 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 5 楼碉堡了~~这个是0day啊 2012-9-19 11:46 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 6 楼为什么用JRE来绕过DEP不靠谱了 2012-9-19 11:47 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 7 楼不是用JRE来绕过DEP不靠谱只是MSF上的用JRE的样本我怎么都没法触发 2012-9-19 12:06 0
寂寞如刀雪币： 58 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	寂寞如刀 1 8 楼楼主给个POC供下载吧. 2012-9-19 14:52 0
误码率雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	误码率 9 楼 MSF已经更新了。。 2012-9-20 10:33 0
亡灵巫师雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	亡灵巫师 10 楼 msf上的poc测试发现,xp sp3+IE8失败,win7+IE9失败. 但是xp sp3英文版+ie8测试成功. 2012-9-25 16:15 0
baixinye 雪币： 78 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 56 粉丝 6 关注私信	baixinye 1 11 楼试试我这个poc呢~ CVE-2012-4969.rar 上传的附件： CVE-2012-4969.rar （0.44kb，58次下载） 2012-9-25 19:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复