[CNNVD]Adobe Reader和Acrobat 内存损坏漏洞(CNNVD-201308-479)

Adobe Reader和Acrobat都是美国奥多比(Adobe)公司的产品。Adobe Reader是一款免费的PDF文件阅读器,Acrobat是一款PDF文件编辑和转换工具。
        Adobe
Reader和Acrobat中存在安全漏洞。攻击者可利用该漏洞执行任意代码或造成拒绝服务(内存损坏)。以下版本受到影响:Adobe
Reader和Acrobat 9.5.5之前的9.x版本,10.1.7之前的10.x版本,11.0.03之前的11.x版本。

测试环境是Adobe Reader11+Windows 7。挂载调试器打开poc后程序异常退出,但是并未中断在调试器中,在任务管理器中发现Adobe Reader存在2个进程,于是启用子进程调试,重新加载,并中断在调试器中,信息如下。

eax= ebx= ecx=64f7f4ea edx=04bb1078 esi=3ef2cc90 edi=

eip=64f7e84b esp=0016e540 ebp=0016e564 iopl=         nv up ei pl nz ac po cy

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\AcroRd32.dll -

AcroRd32!DllCanUnloadNow+0x150524:

64f7e84b 8b06            mov     eax,dword ptr [esi]  ds::3ef2cc90=????????

我们往前面看一下会发现esi来自ecx,而由于ecx就是this指针,这里怀疑是对象指针。再后面看一下又有call    dword ptr [eax+364h]。于是重新加载启用堆分配记录。如下

:> !heap -p -a esi

    address 3eaeac90 found in

    _DPH_HEAP_ROOT @

    in free-ed allocation (  DPH_HEAP_BLOCK:         VirtAddr         VirtSize)

                                   3136171c:         3eaea000             0b2 verifier!AVrfDebugPageHeapFree+0x000000c2

     ntdll!RtlDebugFreeHeap+0x0000002f

    77737aca ntdll!RtlpFreeHeap+0x0000005d

    77702d68 ntdll!RtlFreeHeap+0x00000142

    768af1ac kernel32!HeapFree+0x00000014

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Windows\system32\MSVCR100.dll -

    6b41016a MSVCR100!free+0x0000001c

    627e1325 AcroRd32!CTJPEGLibInit+0x0000f6d5

    6290c2af AcroRd32!DllCanUnloadNow+0x0010df88

    628b3381 AcroRd32!DllCanUnloadNow+0x000b505a

    6294723b AcroRd32!DllCanUnloadNow+0x00148f14

    628980b1 AcroRd32!DllCanUnloadNow+0x00099d8a

    62e54bbf AcroRd32!CTJPEGRotateOptions::operator=+0x001b0aa3

    628980b1 AcroRd32!DllCanUnloadNow+0x00099d8a

    62cfabca AcroRd32!CTJPEGRotateOptions::operator=+0x00056aae

    62cfb275 AcroRd32!CTJPEGRotateOptions::operator=+0x00057159

    62cf93be AcroRd32!CTJPEGRotateOptions::operator=+0x000552a2

    62da391e AcroRd32!CTJPEGRotateOptions::operator=+0x000ff802

    62da3b7c AcroRd32!CTJPEGRotateOptions::operator=+0x000ffa60

    62da3eca AcroRd32!CTJPEGRotateOptions::operator=+0x000ffdae

*** WARNING: Unable to verify checksum for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api -

    64989a3a Annots!PlugInMain+0x00078015

    6498a692 Annots!PlugInMain+0x00078c6d

    6498af61 Annots!PlugInMain+0x0007953c

*** WARNING: Unable to verify checksum for C:\Program Files\Adobe\Reader .\Reader\plug_ins\EScript.api

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\plug_ins\EScript.api -

    66e2a8e8 EScript!PlugInMain+0x000392b6

    66dfff65 EScript!PlugInMain+0x0000e933

    66e19749 EScript!PlugInMain+0x00028117

    66e157ec EScript!PlugInMain+0x000241ba

    66e378e6 EScript!PlugInMain+0x000462b4

    66e3786c EScript!PlugInMain+0x0004623a

    66e36951 EScript!PlugInMain+0x0004531f

    66e3626c EScript!PlugInMain+0x00044c3a

    66e342da EScript!PlugInMain+0x00042ca8

    64989e26 Annots!PlugInMain+0x00078401

很明显是已经释放的内存块,那我们来看下这个内存块是在哪里分配的。通过对分配函数下断向前摸到了这块内存的分配记录

:> !heap -p -a 04878de8

    address 04878de8 found in

    _DPH_HEAP_ROOT @ 45f1000

    in busy allocation (  DPH_HEAP_BLOCK:         UserAddr         UserSize -         VirtAddr         VirtSize)

                                 48f05e4:          4878de8               -

    77888e89 verifier!AVrfDebugPageHeapAllocate+0x00000229

    77774ea6 ntdll!RtlDebugAllocateHeap+0x00000030

    77737d96 ntdll!RtlpAllocateHeap+0x000000c4

    777034ca ntdll!RtlAllocateHeap+0x0000023a

    6b7709ee MSVCR100!unlock+0x000000ba

    6b771e32 MSVCR100!calloc_crt+0x00000016

    6b771d93 MSVCR100!mbtowc_l+0x000001be

    6b771e16 MSVCR100!mbtowc_l+0x00000241

    7770af24 ntdll!LdrpCallInitRoutine+0x00000014

    7770b511 ntdll!LdrpInitializeThread+0x0000015b

    7770b298 ntdll!_LdrpInitialize+0x000001ad

    7770b2c5 ntdll!LdrInitializeThunk+0x00000010

最后再看一下重用时的操作

:> kp

ChildEBP RetAddr

WARNING: Stack unwind information not available. Following frames may be wrong.

001fe028 64f7e0d2 AcroRd32!DllCanUnloadNow+0x150524

001fe04c 64f7f3e3 AcroRd32!DllCanUnloadNow+0x14fdab

001fe054 64f7d996 AcroRd32!DllCanUnloadNow+0x1510bc

001fe0a0 64f7c68c AcroRd32!DllCanUnloadNow+0x14f66f

001fe0d0 64f7c50e AcroRd32!DllCanUnloadNow+0x14e365

001fe160 64f7c206 AcroRd32!DllCanUnloadNow+0x14e1e7

001fe170 64f7c1a1 AcroRd32!DllCanUnloadNow+0x14dedf

001fe17c 64ed712e AcroRd32!DllCanUnloadNow+0x14de7a

001fe1a8 64f7ae0e AcroRd32!DllCanUnloadNow+0xa8e07

001fe1d8 64f76d1d AcroRd32!DllCanUnloadNow+0x14cae7

001fe1fc 64f76bf1 AcroRd32!DllCanUnloadNow+0x1489f6

001fe214 64f7434c AcroRd32!DllCanUnloadNow+0x1488ca

001fe2ac 64e2e440 AcroRd32!DllCanUnloadNow+0x146025

001fe2d8 64f73a64 AcroRd32!DllCanUnloadNow+0x119

001fe300 653d38ef AcroRd32!DllCanUnloadNow+0x14573d

001fe37c 653d3b7c AcroRd32!CTJPEGRotateOptions::operator=+0xff7d3

001fe390 653d3eca AcroRd32!CTJPEGRotateOptions::operator=+0xffa60

*** WARNING: Unable to verify checksum for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api -

001fe39c 63009a3a AcroRd32!CTJPEGRotateOptions::operator=+0xffdae

001fe3b0 6300a692 Annots!PlugInMain+0x78015

001fe3c8 6300af61 Annots!PlugInMain+0x78c6d

CVE-2013-3346Adobe Reader和Acrobat 内存损坏漏洞分析的更多相关文章

  1. Linux Kernel 本地内存损坏漏洞

    漏洞名称: Linux Kernel 本地内存损坏漏洞 CNNVD编号: CNNVD-201310-663 发布时间: 2013-11-05 更新时间: 2013-11-05 危害等级:    漏洞类 ...

  2. Linux kernel 内存损坏漏洞

    漏洞名称: Linux kernel 内存损坏漏洞 CNNVD编号: CNNVD-201310-143 发布时间: 2013-10-11 更新时间: 2013-10-11 危害等级: 中危   漏洞类 ...

  3. PHP ‘asn1_time_to_time_t’函数内存损坏漏洞

    漏洞名称: PHP ‘asn1_time_to_time_t’函数内存损坏漏洞 CNNVD编号: CNNVD-201312-348 发布时间: 2013-12-18 更新时间: 2013-12-18 ...

  4. Linux Kernel 释放后重用内存损坏漏洞

    漏洞名称: Linux Kernel 释放后重用内存损坏漏洞 CNNVD编号: CNNVD-201307-305 发布时间: 2013-07-18 更新时间: 2013-07-18 危害等级:    ...

  5. CVE-2010-3971 CSS内存破坏漏洞分析

    看了仙果版主的议题演讲,其中提到cve-2010-3971是一个浏览器漏洞利用中的里程碑.于是找来POC,尝试分析一下. 1.漏洞重现 XP SP3+ie6.0环境 poc如下: poc.htm &l ...

  6. CVE-2013-2729 Adobe Reader和Acrobat 数字错误漏洞

    这个洞是在论坛里看到的,感觉很有意思,来学习一下.个人感觉IE或者说是浏览器的洞和Adobe洞都是比较难调的,主要是有大量的类难以摸清之间的关系. 这个洞是一个整数溢出的洞,这个不是重点.重点是利用的 ...

  7. 安装vs2013以后,链接数据库总是报内存损坏,无法写入的错误

    安装vs2013以后,链接数据库总是报内存损坏,无法写入的错误 这个错误几个月以前解决过一次,但是到又碰到的时候,竟然完全忘记当时怎么解决的了, 看来上了年纪记忆真是越来越不行了... 解决方案很简单 ...

  8. CVE-2010-2883Adobe Reader和Acrobat CoolType.dll栈缓冲区溢出漏洞分析

       Adobe Acrobat和Reader都是美国Adobe公司开发的非常流行的PDF文件阅读器. 基于Window和Mac OS X的Adobe Reader和Acrobat 9.4之前的9.x ...

  9. PHP Fileinfo组件越界内存破坏漏洞

    漏洞版本: PHP PHP 5.x 漏洞描述: BUGTRAQ ID: 66002 CVE(CAN) ID: CVE-2014-2270 PHP是一种HTML内嵌式的语言. PHP的file程序在解析 ...

随机推荐

  1. shell参数代表什么,如何调试shell?

    $0就是该bash文件名$?是上一指令的返回值$*所有位置参数的内容:就是调用调用本bash shell的参数.$@基本上与上面相同.只不过是“$*”返回的是一个字符串,字符串中存在多外空格.“$@” ...

  2. Python 装饰器(进阶篇)

    装饰器是什么呢? 我们先来打一个比方,我写了一个python的插件,提供给用户使用,但是在使用的过程中我添加了一些功能,可是又不希望用户改变调用的方式,那么该怎么办呢? 这个时候就用到了装饰器.装饰器 ...

  3. P2831 愤怒的小鸟

    P2831 愤怒的小鸟 从 \((0, 0)\) 发射一只鸟, 轨迹满足抛物线, 问最少几只鸟可以打完 \(n <= 18\) 只猪 错误日志: 处理抛物线数组没有初始化 Solution 数据 ...

  4. addEventListener() 事件监听

    addEventListener() 用于向指定元素添加事件. 可以向一个元素添加多次事件或者多次不同事件,后面的事件是不会覆盖前面的. 语法: element.addEventListener(ev ...

  5. textview 使drawable与text一起居中的textview,这里仅支持drawableleft

    package cc.hent.www.ramo_cmedcial.CustomView; import android.content.Context; import android.graphic ...

  6. angularJS $watch $apply $digest

    看O'Reilly的书看到$watch这部分,不过没看懂,网上很多资料也含糊不清,不过还是找到了几个好的,简单记录一下. 一句话说明,$watch是用来监视变量的,好了直接上代码 <html&g ...

  7. Swift控制手电筒操作(iOS)

    手电筒是iphone的一个常用功能,最常用的操作就是turn on和turn off,下面我们来实现一个简单的手电筒操作程序:一个按钮来控制iphone手电筒的On和Off,并且按钮的text也做相应 ...

  8. 男女通用的减肥计划 10分钟家庭hiit训练

    在大城市的年轻人,一般都会比较忙,晚上下班吃完饭,到家就要8-9点了,再让他们去,有时候真的不太方便. 其实你如果想要,也不一定要,在家里做hiit运动,就可以了. hiit(高强度间歇运动),是目前 ...

  9. 《设计模式》-原则二:里氏代换原则(LSP)

    回顾一下上一节说的“开闭原则” 说的是 一个软件要遵循对修改关闭 对新功能扩展的原则. 这一次来说说 “里氏代换原则” 意思是说:子类型必须能代替他们的基类. 看了半天的例子 好像 是懂非懂啊...相 ...

  10. 使用Console命令调试JS

    一.console 的对象常用的方法 1.console.log(object[, object, ...])使用频率最高的一条语句:向控制台输出一条消息.支持 C 语言 printf 式的格式化输出 ...