5.  威胁建模过程

Ø  系统内部子系统分析：系统的分析需要逐步细分，系统内部不同子系统之间也可能存在不同的权限机制，用户接入的具体子系统也可能不同，将内部子系统的划分，将数据传递从系统外部接口细化到内部子系统，能更有效地分析系统的威胁模型。

Ø  客 体对象权限分析：安全需求阶段只描述出用户，用户是一种现实实体，应该更抽象一些成为角色的对象，包括关联的外部组件以及内部不同权限的子系统也应该抽取 成权限对象，描述这些对象的权限，同时还需要理清表面看来为同样权限对象的实际权限的区别，比如网站许可多个用户之间通过WEB页面进行通讯，表面上看 来，多个用户之间好像权限一样，但其实，用户甲和用户B之间，对自己主机和对WEB网站上自己拥有的私有内容是具有不同权限的，如果用户主机或网站许可用 户保留自己私有的敏感数据或功能，同一角色的不同用户也是隔离的权限。

Ø  数据流分析：外部将不同权限的对象如何接入系统和传递什么样的数据使用数据流表达出来，内部针对不同的子系统也是一样，这样就能从数据流通道角度去分析可能产生的威胁。

Ø  数据污染传递与渗透传递分析：针对数据流，可以标注出其主要负载的数据内容，并沿数据流方向，分析其可能的传递方式，主要有：

²  污染传递：在系统的子系统之内，上一处理节点的数据直接传递到下一节点的传递方式。

²  渗透传递：在系统的子系统之内，上一处理节点的数据经过处理新生成的与原始数据有相关性的数据传递到下一节点的传递方式。

Ø  攻击数据源分析：攻击数据源主要来源于两个地方

²  权限对象数据：系统外部的所有权限对象传递过来的数据源，都是攻击数据源，即使是拥有系统所有权限的外部对象，也可能因自己主机已被入侵导致被动的攻击，虽然这样的攻击很难检测和阻止，但是从安全脆弱性分析角度，系统至少应该拥有记录和事后审计的能力。

²  系 统内部低权限子系统：在系统的不同权限的子系统之间，所有低权限子系统向高权限子系统传递的或者权限不重叠和包含的子系统相互之间，由系统内部生成，外部 攻击者不直接可控的数据，也是攻击数据源，攻击者可能先通过低权限子系统的安全脆弱性控制低权限子系统获得部分的能力，然后再利用高权限子系统处理低权限 子系统数据上的安全脆弱性获得更高的权限。即使处于同一系统内，不同权限的子系统中高权限或者权限不重叠和包含的子系统之间，如果对对方传递的只内部生成 处理的数据存在问题也是安全脆弱点。（比如WIN7下IE8的提权安全漏洞）

Ø  攻击界面分析：安全脆弱点主要存在在攻击界面上，主要存在着如下的攻击界面

²  外部权限对象到系统：这个很容易理解，大多数安全脆弱点是在这里找到的。

²  低权限对象到高权限对象或不同权限对象之间：从系统整体性分析，攻击者可以通过低权限对象到高权限对象或不同权限对象之间来实施攻击，然后利用高权限或不同权限对象拥有的能力和权限以及拥有的资产，来获得对自身约束的能力和权限的突破。

²  内部低权限子系统到高权限子系统或不同权限的子系统之间也是一种攻击界面。

Ø  威 胁分析：威胁是指，针对具体的客体对象之间的数据流，攻击者可能被突破与泛用的权限或能力，根据每个攻击界面上，数据流在系统内部各个子系统上传递的每个 环节，包括外部连接的权限对象，数据影响到那些权限对象，在内部传递给那些子系统，数据流上负载那些数据，数据流到那些权限关联的数据，功能或其他实体体 现或存储在哪里，可以分析出每个数据流上可能应对的威胁，如否认，伪冒，泄密等。

Ø  安全策略分析：汇总所有的威胁，也可以针对具体的每个攻击界面面临的主要威胁，结合安全经验和常用的安全措施，分析系统应该采用的在配置，部署上实施的安全策略以及方案。

Ø  威 胁对应的漏洞形式分析：威胁在数据流上体现的具体漏洞形式，根据我们微观的分析是和数据类型，数据操作和存储的方式，以及对象权限划分相关的，结合数据， 对象权限，数据如何被处理和存储的，以及对应的威胁，我们可以具体分析出针对某一数据流的威胁可能对应的漏洞形式，这些漏洞形式就是连接宏观到微观，基于 系统内部自身实现安全脆弱性检测的依据。

3.       安全测试方法

南京翰海源信息技术有限公司对安全测试方法的定义是：

Ø  通过对系统本身资产，外部环境的分析可以分析安全的需求，并提出满足安全需求的安全功能。

Ø  通过对权限客体的分析以及权限客体之间的数据流，分析数据流上的威胁（针对具体权限和能力的突破或泛用的某种可能），并完善安全功能并提出缓解威胁的安全策略。

Ø  结合数据流上的功能，数据形式和安全经验可以再把数据流上的威胁细化成漏洞形式，并提出软件具体安全实现的准则。

针对安全功能，安全策略，安全实现准则，对软件进行全方位的安全测试。

4.       安全需求分析

Ø  系统和关联部件分析：首先需要定义系统本身的边界，以及外部关联的部件，并以此基础来进行下一部分的分析。

Ø  外部数据通道：分析系统与外部关联部件或其他用户可以接入的数据通道。

Ø  用户权限与接入方式：分析可能以各种方式接入系统的用户（包括匿名用户或未授权用户），以及正常的权限与能力约束。

Ø  资 产和资产分布分析：分析系统保护的信息资产属性，价值和重要性，以及这些资产会经过保存或经过传达到外部关联部件，用户和数据通道上。或者这些资产的价值 和损害对外部关联部件，用户和数据通道存在那些依赖性。这些分布信息决定了除对系统本身外，对外部部件，数据通道，以及不同权限的用户的安全保护级别，潜 在的针对外部部件，数据通道和其他不同权限的用户的安全攻击途径。

Ø  安 全标准与要求：安全是一种成本，追求绝对的安全是不可能的，必须根据保护的资产自身属性和价值，以及外部环境，来制定系统本身的安全标准和要求，并以此来 衡定真实的安全脆弱点，低安全等级的，很多低安全等级的安全脆弱点并不能成为安全脆弱点，比如非涉密只用于向大众展示广告信息不提供其他接入手段的系统， 主机操作系统类型信息泄露的安全脆弱点就可以忽略，但是对于高保密要求的系统，则可能成为一个安全脆弱点。根据以上信息，我们可以定义出系统的安全标准与 要求。并以此为标准来核查和确认系统的安全脆弱性。

安全功能定义：根据安全标准与要求，结合常见的安全功能，定义系统应该实现的安全功能，覆盖的范围，实现的强度等指标，据此可以从安全功能的角度去分析系统的安全脆弱性。

1.       安全问题的本质

对安全问题的本质理解是决定对安全漏洞分析和安全测试思想正确与否的关键。南京翰海源信息技术有限公司认为：安全问题的本质是对权限与能力的突破或泛用，所有系统的安全问题都是可以归结为对权限与能力的突破或泛用。

2.       安全能力或问题的层次

南京翰海源信息技术有限公司的安全模型中：安全能力包含了五个层次：

Ø  安全设计：设 计并非会直接包含了具体的安全脆弱点，但却是影响到安全脆弱性的一个关键性因素，一个不好的或者未考虑到安全的设计，会导致定义的安全功能，安全策略以及 安全实现无法有效实现，一些严重的错误的设计，会导致功能本身就成为安全漏洞。因此可以针对系统拥有的体系和功能设计来分析系统的安全设计，分析那些体系 和功能可能会影响到安全，这些体系和功能涉及到的模块，则是重点的安全脆弱性分析的对象

Ø  安全功能：安全功能是一种由系统由针对性实现的，用于针对自身系统安全保护的功能。IT系 统中，根据系统自身对保密性，完整性和可用性的需求，需要实现相应的如身份认证，加密，防篡改，日志审核等功能，并采用必要的强度和保护的范围，来确保满 足信息和系统的安全需求。如果一个有对应安全要求的系统，缺乏了对应的安全功能，或者实现的功能在强度上和保护覆盖上未达到要求，或者存在在一些特定的条 件导致这些功能能够失效或者降级，则意味着存在在安全脆弱性。因此，从系统自身保护的资产价值，安全风险等级，外部环境，外部权限对象分析，可以得出系统 自身对安全功能和强度以及覆盖范围的要求，也可以以此为指导来核查和检测系统自身在安全功能上是否存在安全脆弱性。

Ø  安全策略：安全策略是指通过对系统以及关联的系统的实施特定的部署和配置，以确保系统的特定功能，数据和物理实体不容易被非授权的用户使用获 取或接触到，或者能及时发现或检测到未授权的用户对系统的滥用,或者被意外的事件导致系统数据不可恢复的损失。在IT系 统中，根据系统自身对保密性，完整性和可用性的需求，以及外部关联的系统以及环境，对应系统可能面对的威胁种类，提出防范和解决威胁的安全策略以及覆盖范 围，包括具体安全策略之下具体的划分或实施方法，如最小特权策略，分析出最小特权集合，最小功能部署，分析出必要的功能集合。如果一个有类似威胁的系统， 缺乏了对应的安全策略，或者实行的覆盖面未达到要求或者在实现时划分的集合错误，或者存在在一些特定的条件导致这些安全策略能够失效或者降级，则意味着存 在在安全脆弱性。虽然这些点并不一定是一个具体的安全漏洞，但在特定环境和假设条件下，系统的脆弱性会大大增加，攻击者可能可以利用其它的一些本来难以利 用的脆弱点轻易的突破系统的整体防线。因此，从系统安全等级，外部关联系统和环境以及应对的威胁种类，结合安全人员的经验，可以分析得出系统自身应实施的 安全策略和覆盖范围以及具体指标和方案的要求，也可以以此为指导来核查和检测系统自身在安全策略上是否存在安全脆弱性。

Ø  安全实现：安全实现是指系统在实现自身的功能时候，由于设计，编码等环节未考虑到安全问题或者疏漏，导致的自身的功能或代码在处理数据时导致 了攻击者通过某种漏洞利用的方式，绕过了系统安全功能和安全策略的保护，直接在系统的内部区域获得了超越本身约束的权限和能力。在IT系统中，根据威胁建 模模型分析出来的系统所存在的攻击界面上的每个数据流可能的威胁，以及数据流上的数据处理形式，结合安全经验，可以得出对应的安全漏洞种类，这些安全漏洞 的种类，就是自身代码安全可能出现的脆弱性，比如缓冲区溢出，SQL注 射等。如果一个有类似威胁和数据流操作方式的系统，缺乏了对应的对这些安全漏洞形式的检测和防范，或者实行的覆盖面未达到要求或者检测和防范的代码实现存 在遗漏或错误，或者存在在一些特定的条件导致这些检测和防范机制能够失效或者降级，则意味着存在在安全脆弱性。攻击者可能可以利用其它的一些本来难以利用 的脆弱点轻易的突破系统的整体防线。因此，从系统安全等级，外部关联系统和环境以及应对的威胁种类，结合安全人员的经验，可以分析得出系统自身应实施的安 全策略和覆盖范围以及具体指标和方案的要求，可以以此为指导来核查和检测系统自身在安全策略上是否存在安全脆弱性。因此，从系统威胁模型分析获取的攻击界 面可能面对的具体威胁类型，结合数据流上的数据可能被处理的方式，结合安全经验，可以得出系统在具体的某个数据流的处理上，应该实现对那些类型的安全漏洞 的检测和防范以及具体防范的方式，也可以以此为指导来核查和检测系统自身在安全实现上是否存在安全脆弱性。

Ø  外部安全防护体系：一个好的外部防范体系可以有效降低已知安全脆弱性的危害影响和可利用性，形成纵深的防御系统，但同时这些外部防范体系的加 入，自身也可能存在着安全脆弱性导致自己的防护被绕过，甚至可能成为攻击者新的攻击界面，因此也是影响对安全脆弱性的重要因素。

[漏洞编号]

CAL_20100625-1

CAL_20100625-2

CAL_20100625-3

[影响版本]

sogou_pinyin_50f 或以前

[公告]

翰海源代码审计实验室在搜狗拼音输入法里发现多个高威胁的安全漏洞，可导致攻击者执行任意代码，并将此漏洞上报给搜狐搜安全部门。8月初搜狗拼音通 过客户端推送的方法已修复此安全漏洞，我们现在发布相应公告。请未使用搜狗拼音推送更新版本的及时安装搜狗拼音新的版本以避免安全威胁。

[漏洞细节]

一个高危漏洞存在于搜狗拼音处理提交的词库文件，目前新版本搜狗拼音已经禁止客户端直接关联词库文件进行安装了。

另两个漏洞存在于皮肤处理上，其中一个高危漏洞来自于搜狗拼音对ZIP压缩格式的处理，搜狗拼音的皮肤是一个ZIP文件，对ZIP的uncompress len字段处理存在问题导致堆溢出，具体细节如下

出错点在 ZipLib.dll 文件中
解压数据时会将解压数据大小加一后进行分配内存
当解压数据的尺寸为0xffffffff时,则会出现分配长度为0的内存,之后再写入到内存时则会覆盖原来内存中的信息

1000C466    8B86 B0000000   mov     eax, dword ptr [esi+B0]  ; 解压后字节数
1000C46C    40              inc     eax                      ; 出错点
1000C46D    50              push    eax
1000C46E    E8 08DB0000     call    10019F7B                 ; _malloc
1000C473    59              pop     ecx
1000C474    8986 B4000000   mov     dword ptr [esi+B4], eax
1000C47A    8986 B8000000   mov     dword ptr [esi+B8], eax
10010E69    8B45 F4         mov     eax, dword ptr [ebp-C]
10010E6C    8B8E BC000000   mov     ecx, dword ptr [esi+BC]
10010E72    8A57 04         mov     dl, byte ptr [edi+4]
10010E75    881408          mov     byte ptr [eax+ecx], dl    ; 写入解压后数据
10010E78    40              inc     eax
10010E79    8945 F4         mov     dword ptr [ebp-C], eax
10010E7C    3B86 AC000000   cmp     eax, dword ptr [esi+AC]

[验证POC]

http://www.vdisk.cn/down/index/4801593A1932

皮肤ZIP压缩处理堆溢出漏洞POC

[老版本验证下载地址]

http://www.vdisk.cn/down/index/4801585A2645

该版本用于验证此安全漏洞

[搜狗拼音新版本下载地址]

我们检测到8月2号以后的搜狗拼音输入法版本已解决以上安全问题，最新的搜狗拼音输入法下载地址如下

http://ime.sogou.com/dl/sogou_pinyin_50s.exe

[感谢]

感谢搜狐对漏洞报告的重视和及时修复

[时间线]

6月15号：翰海源发现1个词库高危安全漏洞

6月20号：翰海源向SOHU安全中心提交词库高危安全漏洞

6月21号：翰海源发现1个皮肤高危安全漏洞，1个皮肤中危安全漏洞

6月25号：翰海源向SOHU安全中心提交皮肤安全漏洞

8月2号后： 我们检测到8月2号以后的搜狗拼音输入法版本已解决以上安全问题

8月21号： 翰海源公告

About Code Audit Labs:

=====================

Code Audit Labs是南京翰海源信息技术有限公司的代码审计部门，公司是由国际资深安全研究人员在中国南京创办一家提供专业的安全测试产品/服务/咨询培训 的安全公司.旨在为各家软硬件生产厂商,行业用户提供专业的高覆盖可度量的安全测试,帮助他们改进自身产品和系统的安全.
我们希望为信息产业在开发过程之中就打造起信息安全的基石,提供安全质量,并凭借着为企业带来的价值而成为国际最专业的安全测试产品和服务的提供商.
公司网站 http://www.VulnHunt.com

[漏洞编号]

CAL_20100623-1

[影响版本]

ClientBinding.dll 1.0.0.2或以前

[公告]

翰海源代码审计实验室在工行个人网银里发现一个高威胁的安全漏洞，可导致攻击者执行任意代码，并将此漏洞上报给工行珠海开发中心。7月底工行个人网 银已修复该漏洞并发布了新的个人网银版本，考虑到工行网银的使用度和客户1DAY的修复时间，我们现在再发布公告，望没有安装新版本工行网银的用户及时安 装新版本工行网银以避免威胁

[漏洞细节]

该漏洞存是在于ClientBinding.dll的一个缓冲区溢出，ClientBinding存在一个BD接口和Ckbd接口，第一个参数代表一个路径，和http://www.icbc.com.cn/一起拼接成一个路径，但是系统对这个路径只固定分配了0×400大小的堆内存

10010035 6800040000       push    0×400

1001003a e801470000       call    ClientBinding!Gcrv+0×99c0 (10014740)

1001003f 83c404           add     esp,0×4

10010042 8bf0             mov     esi,eax

但是在拷贝数据的时候，是根据参数1的真实长度来拷贝的，而并没有检测是否大于0X400，因此直接导致了一个堆溢出

10001543 76f7             jbe     ClientBinding+0×153c (1000153c)

10001545 8bce             mov     ecx,esi

10001547 2bc6             sub     eax,esi

10001549 8da42400000000   lea     esp,[esp]

10001550 8a1401           mov     dl,[ecx+eax]            ds:0023:014d63d3=6b

10001553 8811             mov     [ecx],dl

10001555 41               inc     ecx

10001556 83ef01           sub     edi,0×1

10001559 75f5             jnz     ClientBinding+0×1550 (10001550)

之后，在WINDOWS XP的系统上，会直接在HEAPFREE里对一个覆盖的指针地址进行写入，由于该地址来源于攻击者覆盖的地址，攻击者可以任意构造地址写入。

7c9308ee 8908             mov     [eax],ecx

7c9308f0 895004           mov     [eax+0x4],edx

7c9308f3 8902             mov     [edx],eax         ds:0023:75747372=????????

7c9308f5 894104           mov     [ecx+0x4],eax

7c9308f8 56               push    esi

7c9308f9 8b75c8           mov     esi,[ebp-0x38]

继续执行，则向一个攻击者可控的地址写入当前内容地址，由于是攻击者可控的地址，该漏洞是一个非常容易利用的漏洞

[验证POC]

Str=”abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789vabcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrAAAstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789″;
obj.Bd(Str, 0)

[老版本验证下载地址]

http://www.vdisk.cn/down/index/4800758A1266

该版本用于验证此安全漏洞

[工行新版本个人网银下载地址]

http://www.icbc.com.cn/icbc/html/download/dkq/icbc_netbank_client_controls.exe

[感谢]

感谢工行对漏洞报告的重视和及时修复

[时间线]

6月23号：翰海源发现该高威漏洞

6月30号：翰海源向珠海工行开发中心报告该漏洞

7月23号：工行网银发布新的网银修复该漏洞

8月21号： 翰海源公告

About Code Audit Labs:

=====================

Code Audit Labs是南京翰海源信息技术有限公司的代码审计部门，公司是由国际资深安全研究人员在中国南京创办一家提供专业的安全测试产品/服务/咨询培训 的安全公司.旨在为各家软硬件生产厂商,行业用户提供专业的高覆盖可度量的安全测试,帮助他们改进自身产品和系统的安全.
我们希望为信息产业在开发过程之中就打造起信息安全的基石,提供安全质量,并凭借着为企业带来的价值而成为国际最专业的安全测试产品和服务的提供商.
公司网站 http://www.VulnHunt.com

[CAL-20090611-1]Adobe Reader JpxDecode Memory Corruption Vulnerability

CVE ID: CVE-2009-3955
Affected Products
=================
Adobe Reader 9.2 ( last updated)
(All previous versions expected to be vulnerable)

Vulnerability Details
=====================

This vulnerability allows remote attackers to execute arbitrary code on
vulnerable installations of Adobe Acrobat and Adobe Reader. User
interaction is required to exploit this vulnerability in that the target
must visit a malicious web address or open a malicious file.

Code Audit Labs http://www.vulnhunt.com has discovered in Adobe
Acrobat/Reader.  The Adobe Acrobat/Reader products contain a memory
corruption vulnerability in the code responsible for parsing the
Jp2c stream of JpxDecode-encoded data streams within a PDF file. This
vulnerability can be exploited remotely to execute code.

Analysis
=========

during process JPC_MS_RGN stream of jp2c box, there exist a sign extern
(from 16 bits to 32bits) that cause bypass the checking, then cause
memory corruption.

piece of code from JP2KLib.dll.

.text:1003D52C
.text:1003D52C loc_1003D52C:                           ; CODE XREF: sub_1003C8ED+79j
.text:1003D52C                                         ; DATA XREF: .text:off_1003D9F9o
.text:1003D52C                 push    2               ; jumptable 1003C966 case 15
.text:1003D52E                 mov     ecx, ebx
.text:1003D530                 call    get_muti_ubyte
.text:1003D535                 sub     [ebp+var_8], 2
.text:1003D539                 push    2
.text:1003D53B                 mov     ecx, ebx
.text:1003D53D                 mov     byte ptr [edi+7], 1
.text:1003D541                 call    get_muti_ubyte
.text:1003D546                 movzx   esi, ax
.text:1003D549                 movzx   eax, si
.text:1003D54C                 push    eax
.text:1003D54D                 mov     ecx, ebx
.text:1003D54F                 call    check_len_is_ok
.text:1003D554                 test    eax, eax
.text:1003D556                 jnz     loc_1003D9E2
.text:1003D55C                 cmp     si, 5
.text:1003D560                 jnz     short loc_1003D571
.text:1003D562                 sub     [ebp+var_8], 3
.text:1003D566                 push    1
.text:1003D568                 mov     ecx, ebx
.text:1003D56A                 call    get_muti_ubyte
.text:1003D56F                 jmp     short loc_1003D588
.text:1003D571 ; ---------------------------------------------------------------------------
.text:1003D571
.text:1003D571 loc_1003D571:                           ; CODE XREF: sub_1003C8ED+C73j
.text:1003D571                 cmp     si, 6
.text:1003D575                 jnz     loc_1003D9EB
.text:1003D57B                 push    2
.text:1003D57D                 mov     ecx, ebx
.text:1003D57F                 call    get_muti_ubyte
.text:1003D584                 sub     [ebp+var_8], 4
.text:1003D588
.text:1003D588 loc_1003D588:                           ; CODE XREF: sub_1003C8ED+C82j
.text:1003D588                 movsx   eax, ax         ; sign extern to 32bits
.text:1003D58B                 cmp     eax, [edi+4Ch]
.text:1003D58E                 jge     loc_1003D9E2  ; bypass the checking
.text:1003D594                 mov     ecx, [edi+2Ch]
.text:1003D597                 mov     esi, eax
.text:1003D599                 imul    esi, 0Ch
.text:1003D59C                 mov     [esi+ecx], eax  ;//heap corruption
.text:1003D59F                 mov     eax, [edi+2Ch]
.text:1003D5A2                 push    1
.text:1003D5A4                 mov     ecx, ebx
.text:1003D5A6                 mov     byte ptr [esi+eax+8], 1;//heap corruption
.text:1003D5AB                 call    get_muti_ubyte
.text:1003D5B0                 test    al, 1
.text:1003D5B2                 jnz     loc_1003D9EB
.text:1003D5B8                 push    1
.text:1003D5BA                 mov     ecx, ebx
.text:1003D5BC                 call    get_muti_ubyte
.text:1003D5C1                 mov     ecx, [edi+2Ch]
.text:1003D5C4                 dec     [ebp+var_8]
.text:1003D5C7                 mov     [esi+ecx+4], eax ;//heap corruption
.text:1003D5CB                 jmp     loc_1003C910

EXPLOIT? high exploitable!!
==========================

as above analysis, the vulnerabiliy code like

DWORD a_heap=malloc();//from [edi+2Ch]
short len1=get_muti_ubyte(2);
int len = len1;
if ( len <0)//bypass checking
{
DWORD esi = len*0×0c; //can integer overflow again, almost, we can full control esi
*(DWORD *)(a_heap+esi)=len;  //at 1003D59C
*(char *)(a_heap+esi+8)=1;   //at 1003D5A6
*(DWORD *)(a_heap+esi+4)= get_muti_ubyte(1);  //at 1003D5C7 arbitrary a byte

}

so almostly , we can rewrite arbitrary memory with limited value.

there are two kinds method to improve exploit stability
1: muti JPC_MS_RGN streams of jp2c box which can muti rewrite different memory address.
2: using javascript heap spray

POC
===
if u want to get it, please drop a email to  code_audit_labs [ @  ]  vulnhunt.com

About Code Audit Labs:
=====================
Code Audit Labs is department of VulnHunt company which provide a
professional security testing products / services / security consulting
and training ,we sincerely hope we can help your procudes to improve code
quality and safety.
WebSite http://www.VulnHunt.com