CVE-2011-0624 漏洞分析

漏洞概述

该漏洞是一个flash 在解析 swf 文件时产生的漏洞，其原因是在处理畸形 opcode 时没有进行相应的判断，导致程序发生越界访问。

分析工具

flash 解析工具 JPEXS Free Flash Decompiler
Windows 调试器 Windbg

漏洞分析

打开 flash 播放器，加载漏洞样本，程序崩溃。
崩溃点如下

0:000> r
eax=ffffd103 ebx=04104980 ecx=00000000 edx=04da0c38 esi=030d4db4 edi=00000000
eip=0043ccd7 esp=0012ee14 ebp=0012f088 iopl=0         nv up ei ng nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010286
XXXXXXXX+0x3ccd7:
0043ccd7 8a5c10ff        mov     bl,byte ptr [eax+edx-1]    ds:0023:04d9dd3a=??

查看此时寄存器信息，edx

0:000> db edx
04da0c38  47 3c 96 03 00 00 01 00-1c 96 05 00 07 fa 02 00  G<..............
04da0c48  00 0e 12 9d 02 00 21 00-96 03 00 00 01 00 96 03  ......!.........
04da0c58  00 00 01 00 1c 96 05 00-07 08 02 00 00 0b 1d 96  ................
04da0c68  02 00 05 01 99 02 00 c9-ff 96 03 00 00 01 00 1c  ................
04da0c78  96 05 00 07 fe 01 00 00-0e 12 9d 02 00 77 02 96  .............w..
04da0c88  03 00 00 01 00 96 03 00-00 01 00 1c 96 05 00 07  ................
04da0c98  25 00 00 00 0b 1d 88 58-02 36 00 65 78 70 61 6e  %......X.6.expan
04da0ca8  64 6d 65 6e 75 00 43 6f-6e 74 65 78 74 4d 65 6e  dmenu.ContextMen

这一段信息在 swf 文件中可以找到，是 as 代码对应的 opcode

DoAction tag

很明显，这里的操作应该是在 opcode 中根据相对偏移进行查找下一个位置的 opcode 信息。

在这个位置下条件断点。当 edx 指向 opcode 时断下，观察程序表现。此处语句所查找的 opcode 位置顺序与 as 代码执行流程相当。在索引到 opcode 偏移 0x542 位置的数据之后，程序崩溃，由此可以判断，程序是在解析执行了偏移 0x542位置的代码之后发生的崩溃。

0:000> g
eax=00000542 ebx=041847e8 ecx=00000000 edx=0c7e3c38 esi=03154db4 edi=00000000
eip=0043ccd7 esp=0012e928 ebp=0012eb9c iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000206
XXXXXXXX+0x3ccd7:
0043ccd7 8a5c10ff        mov     bl,byte ptr [eax+edx-1]    ds:0023:0c7e4179=99
0:000> g
eax=ffffd103 ebx=041847e8 ecx=00000000 edx=0c7e3c38 esi=03154db4 edi=00000000
eip=0043ccd7 esp=0012e928 ebp=0012eb9c iopl=0         nv up ei ng nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000286
XXXXXXXX+0x3ccd7:
0043ccd7 8a5c10ff        mov     bl,byte ptr [eax+edx-1]    ds:0023:0c7e0d3a=??

转到 opcode 代码处观察，可以看到在偏移 0x542 （需要加上头部偏移0x64）的位置，opcode 执行 jump loc721 跳转指令，程序执行流程会转到 loc721 位置去执行，然而 loc721并不是一个合法的 opcode 标签位置，这里显然出了问题，这段opcode 被恶意的更改了，而 flash 并没有对这里的跳转做出限制，从而导致了程序的崩溃。（由于工具的原因图中显示的opcode 字节码不正确，以下面的分析为准）

Opcode

从解析 jump loc721开始分析程序处理流程，jump loc721 指令对应的字节码为 99 02 00 bc cb
0x99 字节码代表跳转指令，接下来两个字节为跳转类型，剩下的两个字节为偏移。
解析 opcode 时，取出其后面的数据进行偏移计算。关键的取数据代码如下，这里取出 jump 指令的偏移数据。

0043ee91 03c8            add     ecx,eax
0043ee93 83c002          add     eax,2
0043ee96 894584          mov     dword ptr [ebp-7Ch],eax
0043ee99 8a7101          mov     dh,byte ptr [ecx+1]
0043ee9c 0fbfc2          movsx   eax,dx
0043ee9f 33d2            xor     edx,edx
0043eea1 8a11            mov     dl,byte ptr [ecx]
0043eea3 8b4ddc          mov     ecx,dword ptr [ebp-24h]
0043eea6 0bc2            or      eax,edx
0043eea8 03c8            add     ecx,eax

注意到 movsx eax,dx ，这条语句使用的是有符号扩展指令将 dx扩展到eax中。向前跳转时，eax值会变成负数从而使 opcode 向前索引；向后跳转时，eax 值为正值，opcode 向后索引。
取出偏移值之后，flash 将偏移值与当前索引到的 opcode 位置直接相加，作为下一个 opcode 的索引。
！！期间，并未对计算所得的结果值做任何合法性的判断，导致程序可以进行越界访问，从而触发崩溃

CVE-2011-0624 漏洞分析

漏洞概述

分析工具

漏洞分析

你可能感兴趣的:(CVE-2011-0624 漏洞分析)