2. 程式人生 > >【漏洞分析】Adobe Acrobat和Reader整數溢位漏洞(CVE-2012-0774)

【漏洞分析】Adobe Acrobat和Reader整數溢位漏洞(CVE-2012-0774)

阿新 發佈:2018-12-13

0x00 前言

總體來說坑不多,但是對於windbg沒有watchpoint功能這一點,真的是很坑。

0x01 簡介

Adobe Acrobat和Reader在True Type Font (TTF)處理的實現上存在整數溢位漏洞,攻擊者可利用此漏洞執行任意程式碼。
受影響軟體版本:
Adobe Reader 9.4.[0-5]
Adobe Reader 9.3.[0-4]
Adobe Reader 9.2
Adobe Reader 9.1.[0-3]
更多詳情,請參考【bid-52951

0x02 漏洞原理

True Type Font字型檔案中使用預定義的指令集控制字型hinting,當執行到MINDEX指令時,被操作的陣列長度n溢位成超大值,導致陣列寫越界。

MINDEX指令:對size為n的陣列進行迴圈左移一位。

0x03 漏洞分析

執行環境:

版本
作業系統 windows 7 sp1 32bit
偵錯程式 windbg 6.12 32 bit
漏洞軟體 AdbeRdr940_zh_CN.exe
檔案檢視器 010editor
反編譯工具 IDA

poc 如下圖所示,問題數值n是由多個值經過計算得到的,無法在poc檔案中直接看到,這裡展示的計算前的輸入資料。
在這裡插入圖片描述


需要說明的是漏洞出發的關鍵資料猜測是fuzz出來的,所以,010editor在解析到SimpleGlyph[10]的資料時報異常,沒有顯示出來。途中藍色選中的資料就在這片黑色領域中。
報錯資訊如下:
010editor報錯資訊

windbg不用開page heap,因為不是堆溢位。執行poc,檢視報錯:

eax=65ee622c ebx=00000000 ecx=65eef000 edx=3fffdc8a esi=65eef004 edi=00004141
eip=65cb79ce esp=0016cd9c ebp=0016ce30 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010202
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader 9.0\Reader\CoolType.dll - 
CoolType+0x79ce:
65cb79ce 8919            mov     dword ptr [ecx],ebx  ds:0023:65eef000=00000000

寫入的目標地址是65eef000

檢視記憶體屬性

0:000> !address 65eef000                  
Failed to map Heaps (error 80004005)
Usage:                  Image
Allocation Base:        65cb0000
Base Address:           65eef000
End Address:            65f0f000
Region Size:            00020000
Type:                   01000000	MEM_IMAGE
State:                  00001000	MEM_COMMIT
Protect:                00000002	PAGE_READONLY
More info:              lmv m CoolType
More info:              !lmi CoolType
More info:              ln 0x65eef000

目標地址Protect屬性是PAGE_READONLY,表示只讀。向只讀地址寫入資料,估計是寫越界了。

回溯函式呼叫棧

0:000> kb
ChildEBP RetAddr  Args to Child              
WARNING: Stack unwind information not available. Following frames may be wrong.
0016ce30 65cbade0 0c6fcbb8 65ee5a28 0c6fce16 CoolType+0x79ce
0016ce60 65cb4e44 0c6fcbb8 65ee5a28 0c6fce16 CoolType+0xade0
0016cea0 65cb587c 0c6fca38 0c6fcbb8 65ee5a28 CoolType+0x4e44
0016cf44 65cb5c36 05eb6aa4 05eb6bfc 05eb6bb4 CoolType+0x587c
0016cfa0 65cb5cc8 05eb6aa4 05eb6bfc 05eb6bb4 CoolType+0x5c36
0016cff0 65cb3a69 05eb6aa4 05eb6bfc 05eb6bb4 CoolType+0x5cc8
0016d058 65cb3b36 0016d15c 0016d08c 00000001 CoolType+0x3a69
0016d1b8 65ccbb43 098df390 00000000 0016d204 CoolType+0x3b36
00000000 00000000 00000000 00000000 00000000 CoolType+0x1bb43

檢視當前函式 CoolType+0x79ce

int __cdecl sub_800798B(int a1)
{
  unsigned int v1; // [email protected]
  _DWORD *v2; // [email protected]
  int v3; // [email protected]
  unsigned int v4; // [email protected]
  int v5; // [email protected]
  int result; // [email protected]

  if ( (unsigned int)(dword_82323E0 - 4) < *(_DWORD *)dword_82323EC
    || (v1 = *(_DWORD *)(dword_82323EC + 340), dword_82323E0 - 4 >= v1)
    || (v2 = (_DWORD *)(dword_82323E0 - 4),
        v3 = *(_DWORD *)(dword_82323E0 - 4),
        v4 = dword_82323E0 - 4 - 4 * *(_DWORD *)(dword_82323E0 - 4),
        v4 < *(_DWORD *)dword_82323EC)
    || v4 >= v1 )
  {
    result = dword_8232438;
    dword_8232434 = 4368;
  }
  else
  {
    v5 = *(_DWORD *)v4;
    if ( v3 > 0 )
    {
      do
      {
        --v3;
        *(_DWORD *)v4 = *(_DWORD *)(v4 + 4); //在此處崩潰
        v4 += 4;
      }
      while ( v3 );
      --v2;
    }
    *v2 = v5;
    dword_82323E0 = (int)(v2 + 1);
    result = a1;
  }
  return result;
}

該函式是MINDEX指令的實現-size為n的陣列做迴圈左移一位,在記憶體中找陣列邊界時,n也就是程式碼中的v3溢位成超大值,導致寫越界。
sub_800798B函式之前已經寫了一篇比較詳細文章做說明【傳送門】。

65cb798b a1e023ee65      mov     eax,dword ptr [CoolType!CTCleanup+0xe3ad6 (65ee23e0)] // 函式入口,這裡下斷點
65cb7990 8b0dec23ee65    mov     ecx,dword ptr [CoolType!CTCleanup+0xe3ae2 (65ee23ec)]
65cb7996 53              push    ebx
65cb7997 56              push    esi
65cb7998 8b31            mov     esi,dword ptr [ecx]
65cb799a 8d50fc          lea     edx,[eax-4]
65cb799d 3bd6            cmp     edx,esi
65cb799f 57              push    edi
65cb79a0 7245            jb      CoolType+0x79e7 (65cb79e7)
65cb79a2 8bb954010000    mov     edi,dword ptr [ecx+154h]
65cb79a8 3bd7            cmp     edx,edi
65cb79aa 733b            jae     CoolType+0x79e7 (65cb79e7)
65cb79ac 83c0fc          add     eax,0FFFFFFFCh
65cb79af 8b10            mov     edx,dword ptr [eax]
65cb79b1 8bda            mov     ebx,edx
65cb79b3 c1e302          shl     ebx,2
65cb79b6 8bc8            mov     ecx,eax
65cb79b8 2bcb            sub     ecx,ebx
65cb79ba 3bce            cmp     ecx,esi
65cb79bc 7229            jb      CoolType+0x79e7 (65cb79e7)
65cb79be 3bcf            cmp     ecx,edi
65cb79c0 7325            jae     CoolType+0x79e7 (65cb79e7)
65cb79c2 85d2            test    edx,edx
65cb79c4 8b39            mov     edi,dword ptr [ecx]
65cb79c6 7e0f            jle     CoolType+0x79d7 (65cb79d7)
65cb79c8 4a              dec     edx //陣列大小n自減,也就是反彙編中的v3自減操作
65cb79c9 8d7104          lea     esi,[ecx+4]
65cb79cc 8b1e            mov     ebx,dword ptr [esi]
65cb79ce 8919            mov     dword ptr [ecx],ebx  ds:0023:65eef000=00000000
65cb79d0 8bce            mov     ecx,esi
65cb79d2 75f4            jne     CoolType+0x79c8 (65cb79c8)
65cb79d4 83e804          sub     eax,4
65cb79d7 8938            mov     dword ptr [eax],edi
65cb79d9 83c004          add     eax,4
65cb79dc a3e023ee65      mov     dword ptr [CoolType!CTCleanup+0xe3ad6 (65ee23e0)],eax
65cb79e1 8b442410        mov     eax,dword ptr [esp+10h]
65cb79e5 eb0f            jmp     CoolType+0x79f6 (65cb79f6)

在函式入口出下斷點

0:000>bp 65cb798b

可以看到這個值n在進入sub_800798B函式不久v3改變成0x40000001,並開始do-while迴圈,有人見過0x40000001這麼大的陣列嗎?顯然這是一個bug。

跟進v3變數,在儲存地址65ee622c下寫斷點

0:000> ba w4 65ee622c

追蹤到v3的值的計算過程
0x3FFF0003 + 0x7FFF + 0x7FFF = 0x40000001

根據這段輸入定位到poc.pdf中的關鍵資料位置

41 41 41 41 41 41 00 03 00 00 00 40 42 41 02 7F FF 7F FF 63 60 41 04 FF E8 00 00 00 00 00 00 43 B0 01 61 42 43 78 41 02 7F FF 7F FF 60 60

0x04 小結

  1. 能初步定位問題出在glyf表,並通過官方文件理解這段資料的意義很重要;
  2. windbg沒有watchpoint,在觀測65ee622c地址的資料變化時,只能靠人眼和記憶了,所以泉哥的分析用的Immunity Debugger;
  3. 這種資料是指令集的反彙編程式碼開始比較難看。在想llvm和jit是不是也會有這樣的bug。

0x05 參考文獻

http://pwdme.cc/2017/11/05/cve-2012-0774/
https://developer.apple.com/fonts/TrueType-Reference-Manual/RM07/appendixA.html
https://docs.microsoft.com/en-us/typography/opentype/spec/tt_instructions
https://android.googlesource.com/platform/external/freetype/+/f720f0dbcf012d6c984dbbefa0875ef9840458c6/src/truetype/ttinterp.c

在這裡插入圖片描述

相關推薦

漏洞分析Adobe AcrobatReader整數溢位漏洞(CVE-2012-0774)

0x00 前言 總體來說坑不多,但是對於windbg沒有watchpoint功能這一點,真的是很坑。 0x01 簡介 Adobe Acrobat和Reader在True Type Font (TTF)處理的實現上存在整數溢位漏洞,攻擊者可利用此漏洞執行任意程式碼。 受影響軟體

有限元分析網格形狀網格尺寸對結果的影響

本文研究了網格形狀和網格尺寸對計算結果的影響。 現研究一個矩形截面的杆件(如圖1.1),對其末端施加兩種等效的載荷:在末端面施加remote force 100N的力,如圖1.2所示。對杆件進行2種網格形狀劃分,分別是六面體網格和四面體網格,如圖1.3所示;另對其進行3種尺寸劃分,分

漏洞分析Foxit Reader BMP biWidth 堆溢位漏洞(CVE-2017-17557)

0x00 前言 總體來說,坑不多,走下來很平坦。畢竟只是簡單的整數溢位漏洞,沒有太多知識點。 0x01 簡介 Foxit Reader 在2018年5月18日的安全公告中提及修復了因惡意呼叫特定函式,導致程式可能遭受堆緩衝區溢位遠端程式碼執行漏洞攻擊的問題(CVE-2017-

Adobe修復了AcrobatReader中的兩個關鍵漏洞

在正常情況下,Adobe還會在每個月的第二週釋出安全更新,但如果有特殊情況,它將提前釋出。 例如,Adobe今天釋出了安全公告APSB19-02,主要是因為Adobe Acrobat和Reader軟體存在嚴重的安全漏洞。 Adobe表示,這兩個漏洞允許攻擊者升級許可權並執行任意程式碼,例如靜默下載和安

源碼防抖節流源碼分析

rgs app args href set api 控制臺 核心技術 狀態 前言 防抖、節流主要用於頻繁事件觸發,例如鼠標移動、改變窗口大小等。lodash等函數庫具備相對應的api, _.debounce 、_.throttle。 核心技術:閉包。 區別: 防抖, 連續

ArcGIS|空間分析柵格資料向量資料的面積計算

柵格向量資料計算面積之前,都需要將資料進行投影轉換,設定單位以方便計算。 文章目錄 1、柵格資料面積計算 方法一:新增欄位並計算 方法二:以表格顯示分割槽統計 2、 向量資料面積計算 1、柵格資料

有限元分析force+moment組合remote force的等效性

本文研究force +moment組合和remote force這兩種邊界條件(載荷)的等效性。由力的平移定理可知沿某點的力可轉化為力矩+力的合力。 現研究一個矩形截面的杆件(如圖1.1),對其末端施加兩種等效的載荷:在末端面施加remote force 為100N的力;在末端面施加

程式碼審計iZhanCMS_v2.1 前臺儲存型XSS漏洞分析

  0x00 環境準備 iZhanCMS官網:http://www.izhancms.com 網站原始碼版本:愛站CMS(zend6.0) V2.1 程式原始碼下載:http://www.izhancms.com/category/Category/index/cid/1 預設後臺:htt

程式碼審計EasySNS_V1.6 前臺任意檔案下載漏洞分析

  0x00 環境準備 EasySNS官網:http://www.imzaker.com/ 網站原始碼版本:EasySNS極簡社群V1.60 程式原始碼下載:http://es.imzaker.com/index.php/Topic/gview/id/92.html 預設後臺地址:http

程式碼審計YUNUCMS_v1.0.6 後臺程式碼執行漏洞分析

  0x00 環境準備 QYKCMS官網:http://www.yunucms.com 網站原始碼版本:YUNUCMSv1.0.6 程式原始碼下載:http://www.yunucms.com/Download/index.html 測試網站首頁:   0x01 程式碼分析

程式碼審計大米CMS_V5.5.3 SQL注入漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

程式碼審計大米CMS_V5.5.3 程式碼執行漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

資料分析:Numpy基礎:陣列向量運算

☆Numpy(Numerical Python)是高效能科學計算和資料分析的基礎包,它是幾乎所有資料分析高階工具的構建基礎。 ndarry ,一個具有向量算數運算和複雜廣播能力的快速且節省空間的多維陣列。 用於對整組資料進行快速運算的標準數學函式(無需編寫迴

程式碼審計XYHCMS V3.5任意檔案下載漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/downl

程式碼審計XYHCMS V3.5任意檔案刪除漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/downl

Adobe修復AcrobatReader中的39個跨平臺關鍵安全問題

Adobe釋出了39個關鍵漏洞的安全更新,這些漏洞影響了MacOS和Windows的Acrobat和Reader軟體產品,這些漏洞可能允許潛在的攻擊者在受感染的系統上執行任意程式碼。 36個關鍵堆溢位,越界寫入,UAF漏洞 (Use After Free),不受信任的指標取消引用之後使用,最新的A

智慧合約系列004-以太坊安全之 Parity 第二次安全事件漏洞分析

Parity 多籤錢包的第二次漏洞發生於 2017年11月07日,不同於 17年7月19日那次,本次不是資產被黑客盜走,而是合約底層被破壞,導致資產就在那,但卻永遠也取不出,就像駕船到太平洋最深處,投下一枚硬幣,硬幣就在那,但你可能再也無法找到它。     

智慧合約系列003-以太坊安全之 Parity 第一次安全事件漏洞分析

截止目前,Parity 多重簽名錢包共發生過兩次安全事件,第一次發生在 2017年07月19日,涉及 Parity 1.5 及以上版本,造成 15萬以太幣約 3000萬美元被盜,第二次發生在 2017年11月07日,致使約 50萬枚以太幣被鎖在合約中無法取出,當時價值大約 1.5億美元,本篇先對發生

漏洞分析如何用11個exp攻破三星S8

Author:  [email protected] Team 、[email protected] Team前言在去年Mobile Pwn2Own上MWR Labs成功攻破了三星S8,據官方報道整個攻擊鏈總共由11個exp構成,是目前Pwn2Own歷史上

協議分析HTTP響應頭中的2種編碼方式介紹

href intro feo 發送 文檔 bsp firefox cep 目前 HTTP 1.1中有兩個實體頭(Entity-Header)直接與編碼相關,分別為Content-Encoding和Transfer-Encoding。 先說Content-Encodin