Flash Player漏洞利用"Exploiting Flash Reliably"

以下消息来自幻影论坛[Ph4nt0m]邮件组

 

前两天推荐过 Mark Dowd 的 Paper “Exploiting Flash Reliably”
[url]http://hi.baidu.com/secway/blog/item/242655971275376855fb96d8.html[/url]

学习了一下，很好很强大。为以后 Flash Player 漏洞的利用开辟了一条崭新崭新的道路啊。

简单来说，从 Flash9 开始，实现了一个 ActionScript Virtual Machine (AVM) ，这个虚拟机首先会验证将要被执行的 ActionScript ，然后再执行。未经验证的、不可信的 ActionScript 非常邪恶强大，几乎 相当于以 Flash Player 运行的权限来执行任意代码，所以虚拟机首先要验证 ActionScript 来源是合法的。

Mark Dowd 发现的 这个漏洞(CVE-2007-0071) ，据说本来只是个 NULL 指针 Crash ，但是他想到了借助 AVM ，利用这个 NULL 指针漏洞来破坏 AVM 验证 Script 的过程，让自己构造的恶意 Script 绕过 AVM 的验证。

恶意的 Script 甚至可以修改 EIP ，但由于 AVM 的种种限制，攻击者也无法随心所欲的修改 EIP 的值，只能通过移动 stack 上其它已有的值，来覆盖 EIP 。但这样已经足够了。

利用这种方法，他已经证实可以非常稳定、通用、跨平台、跨浏览器利用 Flash Player 的漏洞。
另外， Flash Player 在 VISTA 上也没有以 ASLR 编译，所以它的漏洞在 vista 上一样可以稳定利用。

Mark Dowd 的这个思路非常好，这个方法之与 Flash Player 漏洞利用，可以媲美 Skylined 当年提出的在利用浏览器漏洞时填充内存的方法。