Discover: nine8 of code audit labs of vulnhunt.com with “vulnhunt Fuzzing”
CAL: CAL-2011-0073;

CVE:CVE-2012-2028

1 Affected Products

=================
Adobe Photoshop EXTENDED CS5 12.0
Adobe Photoshop EXTENDED CS5.1 12.1

2 Vulnerability Details

=====================
There are some problems when Photoshop parsing “tif” file.  If “Compression Tag(0×100)” is
replaced with “ImageWidth Tag(0×100)” or “ImageLength Tag(0×101)”, the copy dest heap size is
calculated with “ImageWidth(replaced), ImageLength, SamplePerPixel” or “ImageLength(replaced),
ImageWidth, SamplePerPixel”, when copying strip bytes. This will cause heap overflow.

3 Analysis

=========

COPY Size:     StripByteCounts         file offset 0×144 (dword)
COPY Src :     StripOffsets            file offset 0×134 (dword)
COPY Dst Heap Size:    ImageLength * ImageWidth(Vuln Seg) * SamplesPerPixel  Or
ImageLength(Vuln Seg) * ImageWidth * SamplesPerPixel

ImageLength    Value                                file offset 0x2A (word)
ImageWidth Value(be replaced)                    file offset 0×42 (word)
SamplesPerPixel Value                            file offset 0×72 (word)

[code]

IDA View: Photoshop.exe(12.0),  IDA ImageBase: 0x400000

.text:01BF0250
.text:01BF0250 ;  int __cdecl t_memcpy(void *Src, void *Dst, size_t Size)
.text:01BF0250   _t_memcpy       proc near
.text:01BF0250                                         ; sub_6B7780+1F6p ...
.text:01BF0250
.text:01BF0250  Src             = dword ptr  4
.text:01BF0250  Dst             = dword ptr  8
.text:01BF0250  Size            = dword ptr  0Ch
.text:01BF0250
.text:01BF0250                 mov     eax, [esp+Size]
.text:01BF0254                 mov     ecx, [esp+Src]
.text:01BF0258                 mov     edx, [esp+Dst]
.text:01BF025C                 push    eax               ; Size
.text:01BF025D                 push    ecx               ; Src
.text:01BF025E                 push    edx               ; Dst
.text:01BF025F                 call    memcpy
.text:01BF0264                 add     esp, 0Ch
.text:01BF0267                 retn
.text:01BF0267  _t_memcpy     endp

.text:00F5294F   push    edi                               ; int
.text:00F52950   movzx   edi, word ptr [esi+0Ch]
.text:00F52954   push    edi                               ; int
.text:00F52955   movzx   edi, word ptr [esi+58h]
.text:00F52959   push    edi                               ; __int16
.text:00F5295A   movzx   edi, word ptr [esi+0Eh]
.text:00F5295E   push    edi                               ; int
.text:00F5295F   movzx   edi, word ptr [esi+6]
.text:00F52963   push    edi                               ; __int16
.text:00F52964   push    ecx                               ; int
.text:00F52965   mov     ecx, [esp+4Ch+arg_Size]             ; ecx = arg0
.text:00F52969   push    edx                              ; int
.text:00F5296A   mov     edx, [esp+50h+arg_8]               ; edx = arg8
.text:00F5296E   push    ecx                              ; arg_size
.text:00F5296F   push    edx                              ; arg_dst
.text:00F52970   push    eax                              ; arg_src, from file
.text:00F52971   call    _t_CallBugMemcpyFunc              ; <----- call bug memcpy func
.text:00F52977   movzx   eax, ax
.text:00F5297A   add     esp, 30h

Windbg Debug

1)    Attach  photoshop.exe process.
2)    set breakpoint, at 00F52971 call    _t_CallBugMemcpyFunc
0:018> bu  photoshop + 00b52971

3)    Breakpoint 2 hit
eax=18943008 ebx=111a0028 ecx=00006660 edx=0c2203c0 esi=0012eee0 edi=00000001
eip=00f52971 esp=0012e6ec ebp=153a6360 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00240202
Photoshop+0xb52971:
00f52971 ff1578881902    call    dword ptr [Photoshop!boost::serialization::s
ingleton<std::multiset<boost::serialization::extended_type_info const *,boost
::serialization::detail::key_compare,std::allocator<boost::serialization::exte
nded_type_info const *> > >::get_const_instance+0x546f78 (02198878)] ds:0023:0
2198878=0045bff0

#copy arguments
0:000> dd esp
(src)       (dst)     (size)
0012e6ec  18943008 0c2203c0 00006660 000000ae
0012e6fc  00000002 00000001 00000002 00000002
0012e70c  00000001 00000008 00000005 111a0028
0012e71c  d56de0ac 0000897e 0012eee0 00000000
0012e72c  00006660 4084d555 01e3a8d4 153a6360
0012e73c  0012ea64 01d2d896 00000007 00f52ca9
0012e74c  00006660 111a0028 0c2203c0 00000000
0012e75c  0012eee0 0012ea70 00000000 0000015c

#copy dest heap size
0:000> !heap -p -a 0c2203c0
address 0c2203c0 found in _HEAP @ c1c0000
HEAP_ENTRY     Size      Prev Flags    UserPtr UserSize - state
0c2203b8         0281  0000  [01]   0c2203c0  01400 - (busy)

#copy source content
0:000> db 18943008
18943008  aa bb cc dd ee ff 16 0d-07 84 42 61 50 b8 64 36  ..........BaP.d6
18943018  1d 0f 88 44 62 51 38 a4-56 2d 17 8c 46 63 51 b8  ...DbQ8.V-..FcQ.
18943028  e4 76 3d 1f 90 48 64 52-39 24 96 4d 27 94 4a 65  .v=..HdR9$.M'.Je
18943038  52 b9 64 b6 5d 2f 98 4c-66 53 39 a4 d6 6d 37 9c  R.d.]/.LfS9..m7.
18943048  43 a0 4f f9 cc f6 7d 3f-a0 50 68 54 3a 25 16 8d  C.O...}?.PhT:%..
18943058  47 a4 52 69 54 ba 65 36-9d 4f a8 54 67 b3 ba 95  G.RiT.e6.O.Tg...
18943068  56 ad 57 ac 56 6b 55 ba-e5 76 bd 5f b0 58 6c 56  V.W.VkU..v._.XlV
18943078  3b 24 da a9 65 b4 5a 6d-56 bb 65 b6 dd 6f b8 5c  ;$..e.ZmV.e..o.\

4 Exploitable?

============
Heap overflow druing memory copy, and the copy source content, copy size are controlled,
the copy dest heap is also contolled. It can cause arbitrary code execution.
[/code]

5 Crash info:

===============

[code]
(44c.324): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=0000d67b ebx=00000005 ecx=00008afb edx=0bc38fc0 esi=1211cb10 edi=0bc344b8
eip=0f5c9896 esp=0012e694 ebp=0012e6e0 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010202
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Adobe Photoshop CS5\Plug-ins\Extensions\MMXCore.8BX -
MMXCore!ENTRYPOINT1+0x1846e:
0f5c9896 660f7f6240      movdqa  xmmword ptr [edx+40h],xmm4 ds:0023:0bc39000=????????????????????????????????

[/code]

6 About Code Audit Labs:

=====================
Code Audit Labs secure your software,provide Professional include source
code audit and binary code audit service.
Code Audit Labs:” You create value for customer,We protect your value”

http://www.VulnHunt.com

http://blog.vulnhunt.com

http://t.qq.com/vulnhunt

http://weibo.com/vulnhunt

https://twitter.com/#!/vulnhunt

翰海源:立志于让安全成为IT系统基础属性;帮助客户改进自身系统的安全,以及实现对APT攻击的检测与防御.

目前APT攻击发布细节出来的案例，基本都是以美国公布的。但是不代表APT攻击只针对欧美，主要原因在于，美国由于IT技术的发达成为APT攻击 的首要目标，而且很多高科技公司也是民营的，而美国公司把针对安全事件发生后的调查和公布看作一种公司的诚信行为，而其他很多国家因为被攻击后更习惯捂盖 子的做法公开的很少。另一个原因是我猜测，美国在APT检测和防御技术上具备一定的先进性使，他们具备针对部分APT攻击能及时发现，因此可以在攻击一开 始时就配合取证了解完整的攻击过程与手法，而其他国家在这方面比较落后，发现时都是后期阶段，只能清除而很难分析取证溯源了解整个攻击过程与手法了。

APT攻击案例中比较著名的有：
1）针对GOOGLE等三十多个高科技公司的极光攻击：攻击者通过FACEBOOK上的好友分析，锁定了GOOGLE公司的一个员工和他的一个喜欢摄影的 电脑小白好友。攻击者入侵并控制了电脑小白好友的机器，然后伪造了一个照片服务器，上面放置了IE的0DAY攻击代码，以电脑小白的身份给GOOGLE员 工发送IM消息邀请他来看最新的照片，其实URL指向了这个IE 0DAY的页面。GOOGLE的员工相信之后打开了这个页面然后中招，攻击者利用GOOGLE这个员工的身份在内网内持续渗透，直到获得了GMAIL系统 中很多敏感用户的访问权限。窃取了MAIL系统中的敏感信息后，攻击者通过合法加密信道将数据传出。事后调查，不止是GOOGLE中招了，三十多家美国高 科技公司都被这一APT攻击搞定，甚至包括赛门铁克这样牛比的安全厂商。

2）针对美国能源部的夜龙攻击：攻击者首先收集了很多能源部门的WEB服务器的SQL注射的漏洞，攻击并控制了这些WEB服务器。但这并不是攻击者 想要的，攻击者在这些WEB站点上一些供内部人员访问的页面上放置了针对IE和OFFICE应用的0DAY挂马攻击代码，因为针对内部站点的，靠挂马检测 难以检测，传播范围不大，而且上来的都基本是目标。于是很快搞定了一些个人终端，渗透进能源部门的内网。窃取和控制了大量的有价值的主机。

3）针对RSA窃取SECURID令牌种子的攻击：攻击者首先搞定了RSA一个外地的小分支机构人员的邮箱或主机，然后以这个人员的身份，向RSA 的财务主管发了一封财务预算的邮件请求RSA的财务主管进行审核，内部附属了一个EXCEL的附件，但是里面嵌入了一个FLASH的0DAY利用代码。 RSA的财务主管认为可信并是自己的工作职责，因此打开了这个XCEL附件，于是攻击者成功控制了RSA的财务主管，再利用RSA的财务主管的身份逐步渗 透，最后窃取走了SECURID令牌种子，通过IE的代理传回给控制者，RSA发现被入侵后一直不承认SECURID令牌种子也被窃取走，直到攻击者利用 窃取的SECURID令牌种子攻击了多个美国军工企业RSA才承认SECURID令牌种子被偷走。

4）针对伊朗核电站的震网攻击：伊朗核电站是一个物理隔离的网络，因此攻击者首先获得了一些核电站工作人员和其家庭成员的信息，针对这些家庭成员的 主机发起了攻击，成功控制了这些家庭用的主机，然后利用4个WINDOWS的0DAY漏洞，可以感染所有接入的USB移动介质以及通过USB移动介质可以 攻击接入的主机。终于靠这种摆渡攻击渗透进了防护森严物理隔离的伊朗核电站内部网络，最后再利用了3个西门子的0DAY漏洞，成功控制了控制离心机的控制 系统，修改了离心机参数，让其发电正常但生产不出制造核武器的物质，但在人工检测显示端显示一切正常。成功的将伊朗制造核武器的进程拖后了几年。

还有一些属于APT攻击范畴但细节比较少或者攻击时就被发现的案例
1）洛克-马丁：攻击者使用PDF 0DAY嵌入到邮件中发送给内部人员发起攻击，但被检测出来，但洛克-马丁未公布是如何检测到这个PDF 0DAY的

2）VERISIGN：VERISIGN今年承认内部发现被黑客攻击成功，但当时在现在离任的高级管理人员都不知道这件事，VERISIGN坚持自 己用于可信站点签名的根证书还是安全的，但是又没证据证明。如果VERISIGN的根证书和RSA的SECURID令牌种子一样已被窃取，这意味着攻击者 以后可以扮演任何一个可信站点，可以针对加密链路发起中间人攻击而不被察觉。

3）NASA：NASA承认去年至少有13次被黑客成功入侵且窃取走了许多核心机密，但具体的攻击细节没有披露。

4）韩国农协银行：据一些未公开的分析过程是攻击者利用社工，将一张免费的网络电影观看券（韩国网上看电影是需要付费的）给了负责韩国农协银行内部 系统开发的IBM外包团队的项目经理，项目经理使用了工作的笔记本去访问这个电影的URL中招，攻击者利用此台笔记本作跳板，成功控制了韩国农协银行的所 有重要系统并窃走信息。然后长期在银行备份时恶意破坏备份但显示备份成功，最后来了一次总爆发，将所有数据删除后撤退。韩国农协银行试图用备份恢复系统发 现最近的备份都被破坏，导致大量数据无法同步，损失惨重。

当然还有一些被报道出来的APT攻击案例，这里就不一一列举。但总体来看，APT攻击始终依赖于：
1）攻击者对被攻击者的信息了解，这是制定社工和攻击策略的前提；
2）有针对性的0DAY漏洞，这是突破当前防护体系和有一些安全意识的人员的利器；
3）有针对性的木马和行为的对抗，特别是杀毒，HIPS，网络审计产品的对抗

url:http://blog.vulnhunt.com/index.php/2012/03/26/flash_sky_apt_attack_spec/

翰海源:立志于让安全成为IT系统基础属性;帮助客户改进自身系统的安全,以及实现对APT攻击的检测与防御.

APT（高级持续性威胁）攻击是指近年来,专业甚至是有组织和国家背景支持的黑客,针对重要目标和系统发起的一种攻击手段，主要特征有

1）持续性：
攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年，攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下，让攻击完全处于 动态发展之中，而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力，因此防护者或许能挡住一时的攻击，但随时间的发展，系统不断有新的 漏洞被发现，防御体系也会存在一定的空窗期：比如设备升级、应用需要的兼容性测试环境等等，最终导致系统的失守。

2）终端性：
攻击者虽然针对的是重要的资产目标，但是入手点却是终端为主。再重要的目标，也是由终端的人来访问的。而人在一个大型组织里，是难以保证所有人的安全能力 与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注射攻击了WEB服务器，一般也是希望利用他攻击使用 这些WEB服务器的终端用户作为跳板渗透进内网。

3）广谱信息收集性：
攻击者会花上很长的时间和资源，依靠互联网搜集，主动扫描，甚至真实物理访问方式，收集被攻击目标的信息，主要包括：组织架构，人际关系，常用软件，常用防御策略与产品，内部网络部署等信息。

4）针对性：
攻击者会针对收集到的常用软件，常用防御策略与产品，内部网络部署等信息，搭建专门的环境，用于寻找有针对性安全漏洞，测试特定的木马是否能饶过检测。

5）未知性：
攻击者依据找到的针对性安全漏洞，特别是0DAY，根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标，但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马，都是防护者或防护体系所不知道的。

6）渗透性社工：
攻击者为了让被攻击者目标更容易信任，往往会先从被攻击者目标容易信任的对象着手，比如攻击一个被攻击者目标的电脑小白好友或家人，或者被攻击者目标使用 的内部论坛，通过他们的身份再对组织内的被攻击者目标发起0DAY攻击，成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级，逐步拿 到对核心资产有访问权限的目标。

7）隐蔽合法性：
攻击者访问到重要资产后，往往通过控制的客户端，分布使用合法加密的数据通道，将信息窃取出来，以饶过我们的审计和异常检测的防护。

8）长期潜伏与控制：
攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来，控制和窃取重要目标。当然也不排除在关键时候破坏型爆发。

从以上特性来看，可以获得如下结论
1）APT攻击的成本很高（专业的团队，长期的信息收集，挖掘0DAY和利用，特马，环境测试，渗透性社工与潜伏，多种检测对抗），因此只适合专业的网络犯罪团伙或有组织和国家支持的特种攻击团队

2）因此APT攻击是针对有重要价值资产或重要战略意义的目标，一般军工、能源、金融、军事、政府、重要高科技企业等最容易遭受APT攻击。

3）虽然普通网民不会遭受APT攻击的眷顾，但是如果你是APT攻击目标组织的一名普通员工甚至只是与APT攻击目标组织的一名普通员工是好友或亲 戚关系，你依然可能成为APT攻击的中间跳板，当然作为普通个人，APT攻击本身不会窃走你个人什么东西（你本身就是重要人物如组织中的高级管理人员或个 人主机里保存有重要资料的除外）。

4）不要以为你重要的信息资产只在内网甚至物理隔离就能不遭受APT攻击，因为即使物理阻止了网络层流，也阻止不了逻辑上的信息流。RSA被APT 攻击利用FLASH 0DAY偷走了在内网严密保护的SECURID令牌种子，震网利用7个0DAY和摆渡成功渗透进了伊朗核设施级的物理隔离网络。

由下面文章引起的一些思考
Ref：http://bbs.pediy.com/showthread.php?t=145558

这个想必大家都知道，这个漏洞是对ole嵌入文件扩展名是否是可执行文件识别没有识别全，并且认为不是可执行文件就没有对用户进行提示。

通过这个漏洞 你能想到什么？

老大说过的一句话：
“
这个漏洞其实就是在简单现象深挖一下
我们打开OFFICE看见对关联EXE有检查就放过了
但看下代码就知道他是黑名单模式,就能去想到更多的不在黑名单当中但其实也有执行能力的东西。
很多安全漏洞就是这样被我们漏过去的。”

于是我们来看看其他软件对文件后缀的过滤情况。

1 聊天工具文件传输

qq

大家都知道我们qq在聊天时，别人给你发附件 若是exe 或者msi 等扩展名时就会自动重命名，防止用户运行，但是他防护的全吗？？？

Qq的默认配置如下图

简单测试了下，如下结果：

以过滤的文件扩展名，会自动加上.重命名

com
exe
msi
bat
scr
chm
vbs
js
dll

对如下后缀没有检测
cmd
Jar
vbe
jse
wsh
py
sct
wsc
wsf
wmz
pl
pif
lua
mdb
application

测试图：

也许装了py的人大概知道py能直接运行，其他的呢，例如application的 装了.net就可以了，win7都是自带了.net程序的

设置成安全级-中级时，
以下的扩展名还是直接可以接受并不过滤
wsh sct wsc py wmz mdb wsf vbe pl lua application jse jar cmd

bat com dll scr chm vbs js 扩展名直接过滤不让传输

exe和msi 的会加上重命名后缀

飞信

在顺便测试下飞信

已过滤的可执行文件扩展名
Exe
Dll
Pif
Bat
Cmd
com
src
chm
vbs
js
jar
wsf
vbe
wsh

没有过滤的扩展名：
Sct
Py
Pl
Wsc
wMz
lua
jse
application

呵呵 飞信以前没过滤这么全的 dll后缀都不过滤的，可能由于之前测试过一个其他的漏洞 然后就大部分都给过滤了;)

2邮件客户端

foxmail

邮件传输中默认对传输的文件扩展名进行了限制 例如exe的 就直接不让传输

例如pif 默认显示图标都是打不开的 ，但是点右键 打开 直接就执行了代码。
Exe bat com等扩展名 直接不允许添加。

当邮件内容中包含了smb或者WebDAV url，直接点击url ，不会提示任何信息，即可执行任意代码(可执行文件扩展名是py pl jar 等等)

上面的可能大家还会觉得有py后缀，有点不靠谱，但是下面的呢

这样 炸眼看去 是个目录？ 但是点击 还是同样的执行了calc.py 哈哈

如果是

Pif exe 这种 点击url 就会提示

没有逆向分析foxmail对于不同的扩展名的处理了，简单的黑盒看了下

结束语

当然，ms12-005根我们上面讨论的还不完全一样，我们上面讨论的只能被看作是有潜在隐患，还算不上是漏洞，但的确有被利用的可能和风险。

假如你是开发人员，当设计人员在设计程序的时候，黑名单模式的情况下稍有不注意就会有漏网之鱼。

假如你是漏洞研究分析人员，当大家分析漏洞的时候，分析完了 之后 要问下 自己从这个漏洞 学习到了什么？

这个漏洞成因是什么？
作者是怎么找的？
作者找的思路是什么？
漏洞怎么利用的？
利用思路是什么？
下次在同样类型的漏洞在你面前 你会找到吗？

Discover: Code Audit Labs of vulnhunt.com
CAL ID: CAL-2012-0006

http://safe.xunlei.com/announce/xl20120306.html

1 Affected Products

=================
Test Version：Xunlei 版本号：7.2.5.3364

2 Vulnerability Details

=====================
Code Audit Labs of vulnhunt.com discover a dll injection vulnerability in xunlei . When xunlei open the file,it cause to a vulnerability ,Successful exploition can cause code execution .

3 Analysis

=========

no analysis

4 Exploitable?

============
Successful exploition can cause code execution .

5 Crash info:

===============
no crash info

6 POC:

====
n/a

7 About Code Audit Labs:

=====================
Code Audit Labs secure your software,provide Professional include source
code audit and binary code audit service.
Code Audit Labs:” You create value for customer,We protect your value”

http://www.VulnHunt.com

http://t.qq.com/vulnhunt

http://weibo.com/vulnhunt

1 Affected Products

=================
Test Version：
Adobe Shockeave Player 11.6.3.633
Adobe Shockwave Player 11.6.1.629
and prior

2 Vulnerability Details

=====================

When adobe shockwave player parsing the field of KEY_ATOM of Director File,
it don’t have proper check,this will lead the key atom pointer overwrite.
Successfully exploited this vulnerability will lead to arbitrary code execution.

3 Exploitable?

============
This vulnerability will lead the key atom pointer overwrite
Successfully exploited this vulnerability will lead to arbitrary code execution.

4 About Code Audit Labs:

=====================
Code Audit Labs secure your software,provide Professional include source
code audit and binary code audit service.
Code Audit Labs:” You create value for customer,We protect your value”

http://www.VulnHunt.com

http://blog.vulnhunt.com

http://t.qq.com/vulnhunt

http://weibo.com/vulnhunt

1 Affected Products

=================
adobe shockwave 11.6.3.633
adobe Shockwave 11.6.1.629 and prior

2 Vulnerability Details

=====================
When adobe shockwave player parsing a dir type file,
it takes a dword from the dir file,and then take some
Computing this computing will leding to Integer overflow,
allocate a small memory,this Cause a heap overflow.

3 Analysis

=========
asm in dirapi.dll 11.6.1.629
[code]
.text:6809FC7A push esi
.text:6809FC7B push edi
.text:6809FC7C push ebp
.text:6809FC7D call IML32_1414_get_a_dword //get a dword form dir file
.text:6809FC82 mov esi, eax //if eax=66666680 some like this,after esi+esi*4 Will cause a heap overflow
.text:6809FC84 lea eax, [esi+esi*4] // Integrated overflow
.text:6809FC87 push 1
.text:6809FC89 lea ecx, ds:24h[eax*8]
.text:6809FC90 push ecx
.text:6809FC91 call IML32_1111 ;
.text:6809FC96 push eax
.text:6809FC97 mov [esp+14h+arg_4], eax
.text:6809FC9B call IML32_1114 //allocate memory
.text:6809FCA0 mov edi, eax
.text:6809FCA2 test edi, edi
.text:6809FCA4 jz short loc_6809FD03
.text:6809FCA6 mov [edi+1Ch], esi
.text:6809FCA9 test esi, esi
.text:6809FCAB jbe short loc_6809FCCB
.text:6809FCAD lea esi, [edi+28h]
.text:6809FCB0
.text:6809FCB0 loc_6809FCB0: ; CODE XREF: sub_6809FC60+69j
.text:6809FCB0 push ebp
.text:6809FCB1 call IML32_1414_get_a_dword ////write the dword to the heap
.text:6809FCB6 push 20h
.text:6809FCB8 push esi
.text:6809FCB9 push ebp
.text:6809FCBA mov [esi-4], eax
.text:6809FCBD call IML32_1409
.text:6809FCC2 inc ebx
.text:6809FCC3 add esi, 28h ////heap buffer overflow
.text:6809FCC6 cmp ebx, [edi+1Ch]
.text:6809FCC9 jb short loc_6809FCB0 //Cycle
[/code]
c code like
==================
[code]
v6 = v4 + 40;
do
{
*(_DWORD *)(v6 - 4) = IML32_1414_get_a_dword(v3);
v4 = IML32_1409();
++v2;
v6 += 40;
}
while ( v2 < *(_DWORD *)(v5 + 0x1C) );
[/code]

4 Exploitable?

============
Successfully exploited this vulnerability could lead to arbitrary code execution.

5 Crash info:

===============
[code]
eax=00000000 ebx=00002a63 ecx=07916058 edx=08980028 esi=07981008 edi=07917068 eip=0754fd5a esp=09e9ef28 ebp=08250bd8 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00210246 *** ERROR: Module load completed but symbols could not be loaded for C:\WINDOWS\system32\Adobe\Shockwave 11\DIRAPI.dll DIRAPI+0x9fd5a: 0754fd5a 8946fc mov dword ptr [esi-4],eax ds:0023:07981004=????????0:028> 0:023> kb
ChildEBP RetAddr Args to Child
WARNING: Stack unwind information not available. Following frames may be wrong.
09e9ef40 0755028c 07894154 08250bb0 07894154 DIRAPI+0x9fd5a
00000000 00000000 00000000 00000000 00000000 DIRAPI+0xa028c
[/code]

6 About Code Audit Labs:

=====================
Code Audit Labs secure your software,provide Professional include source
code audit and binary code audit service.
Code Audit Labs:” You create value for customer,We protect your value”

http://www.VulnHunt.com

http://blog.vulnhunt.com

http://t.qq.com/vulnhunt

http://weibo.com/vulnhunt

Google Chrome 17 Stable 更新地址 http://www.google.cn/chrome

http://blog.vulnhunt.com/index.php/2012/02/09/vulnhunt_hlp_chrome_fixed_cve-2011-3964/

http://t.qq.com/vulnhunt

http://weibo.com/vulnhunt

CVE ID: CVE-2012-1003

1 Affected Products

=================
11.60 and prior

2 Vulnerability Details

=====================

Code Audit Labs http://www.vulnhunt.com has discovered a integer overflow
vulnerability in array functions like Int32Array,Int16Array… .

Opear vendor say “We have reproduced the problem, and determined that it
does not have any security implications, since the crash is a caused by a
memory fill operation which the webpage have no control over, and this
operation will always crash. It is therefore classified as a stability
issue, not a security issue. ”

we still insist on that it is a security issue or not should accord to root
cause of this bug instead of is it exploitable or not. because you think it is
unexploitable, someone can exploit it via deeply research.

So if most people of Security Community think this is a security issue,
please assign to a CVE number.

3 Analysis

=========
Int16Array(2147483647) example
memory corrupt happen if satisfy with following Conditions
1: x*2 >2
2:x*2!=00
3: (x*2-1)+0x1f overflow 32bits.

so the length of malloc is (x*2-1)+0x1f
memset(eax+0×10,0,x*2) cause memory corrupt

[code]
text:5C769F57
.text:5C769F57 loc_5C769F57: ; CODE XREF: sub_5C769DCE+17Cj
.text:5C769F57 mov eax, [esp+48h+var_20] ; var_20 is 2
.text:5C769F5B imul eax, [esp+48h+var_3C] ; var_3C is 80000001
.text:5C769F60 cmp eax, [esp+48h+var_3C]
.text:5C769F64 jb short loc_5C769F37
.text:5C769F66 mov [esp+48h+size], eax
.text:5C769F6A mov eax, [ebp+arg_0]
.text:5C769F6D call sub_5C14A6E8
.text:5C769F72 push [esp+48h+size] ; size
.text:5C769F76 push dword ptr [eax] ; int
.text:5C769F78 push [ebp+arg_0] ; int
.text:5C769F7B call sub_5C765B6D
.text:5C769F80 add esp, 0Ch

...

.text:5C46A598
.text:5C46A598 arg_0 = dword ptr 4
.text:5C46A598 size = dword ptr 8
.text:5C46A598
.text:5C46A598 mov edx, [esp+arg_0]
.text:5C46A59C push esi
.text:5C46A59D mov esi, [esp+4+size]
.text:5C46A5A1 test esi, esi
.text:5C46A5A3 jz short loc_5C46A5AA
.text:5C46A5A5 lea eax, [esi-1]
.text:5C46A5A8 jmp short loc_5C46A5AC
.text:5C46A5AA ; ---------------------------------------------------------------------------
.text:5C46A5AA
.text:5C46A5AA loc_5C46A5AA: ; CODE XREF: sub_5C46A598+Bj
.text:5C46A5AA xor eax, eax
.text:5C46A5AC
.text:5C46A5AC loc_5C46A5AC: ; CODE XREF: sub_5C46A598+10j
.text:5C46A5AC mov ecx, [edx+8]
.text:5C46A5AF add eax, 1Fh
.text:5C46A5B2 push 0
.text:5C46A5B4 and eax, 0FFFFFFF8h
.text:5C46A5B7 push eax
.text:5C46A5B8 push edx
.text:5C46A5B9 call sub_5C019DA0

ext:5C765BF7 loc_5C765BF7: ; CODE XREF: sub_5C765B6D+50j
.text:5C765BF7 push [ebp+size] ; size
.text:5C765BFA lea eax, [ebx+10h]
.text:5C765BFD push 0 ; c
.text:5C765BFF push eax ; dst
.text:5C765C00 call memset

[/code]

4 Exploitable?

============
who known?

5 Crash info:

===============
[code]
(d10.ff4): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=01fff21d ebx=00000000 ecx=0367ffb0 edx=00000076 esi=019c5ff8 edi=03610e68
eip=675b347e esp=02314de0 ebp=02314e24 iopl=0 nv up ei pl nz na pe cy
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010207
*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\Program Files\Opera\Opera.dll -
Opera!OpGetNextUninstallFile+0x1961c:
675b347e 660f7f4150 movdqa xmmword ptr [ecx+50h],xmm0 ds:0023:03680000=????????????????????????????????
0:000> .exr -1
ExceptionAddress: 675b347e (Opera!OpGetNextUninstallFile+0x0001961c)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000001
Parameter[1]: 03680000
Attempt to write to address 03680000
0:000> kp
ChildEBP RetAddr
WARNING: Stack unwind information not available. Following frames may be wrong.
02314e24 00000000 Opera!OpGetNextUninstallFile+0x1961c
[/code]

6 POC:

====
open a html with following content
[code]

[/code]

7 About Code Audit Labs:

=====================
Code Audit Labs secure your software,provide Professional include source
code audit and binary code audit service.
Code Audit Labs:” You create value for customer,We protect your value”

http://www.VulnHunt.com

Discover: instruder of Code Audit Labs of vulnhunt.com
CAL ID: CAL-2011-0080

1 Affected Products
=================
Test Version：360zip 1.93beta 2011-12-29 (the version still 1.93beta after 360 fixed the vuln)

2 Vulnerability Details
=====================
When 360zip Browse the file,it cause to a vulnerability ,Successful exploition can cause code execution .

3 Analysis
=========

no analysis

4 Exploitable?
============
Successful exploition can cause code execution .

5 Crash info:
===============
no crash info

6 POC:
====
n/a

7 About Code Audit Labs:
=====================
Code Audit Labs secure your software,provide Professional include source
code audit and binary code audit service.
Code Audit Labs:” You create value for customer,We protect your value”

http://www.VulnHunt.com