[CNNVD]Adobe Reader和Acrobat 内存损坏漏洞(CNNVD-201308-479)

Adobe Reader和Acrobat都是美国奥多比(Adobe)公司的产品。Adobe Reader是一款免费的PDF文件阅读器,Acrobat是一款PDF文件编辑和转换工具。
        Adobe
Reader和Acrobat中存在安全漏洞。攻击者可利用该漏洞执行任意代码或造成拒绝服务(内存损坏)。以下版本受到影响:Adobe
Reader和Acrobat 9.5.5之前的9.x版本,10.1.7之前的10.x版本,11.0.03之前的11.x版本。

测试环境是Adobe Reader11+Windows 7。挂载调试器打开poc后程序异常退出,但是并未中断在调试器中,在任务管理器中发现Adobe Reader存在2个进程,于是启用子进程调试,重新加载,并中断在调试器中,信息如下。

eax= ebx= ecx=64f7f4ea edx=04bb1078 esi=3ef2cc90 edi=

eip=64f7e84b esp=0016e540 ebp=0016e564 iopl=         nv up ei pl nz ac po cy

cs=001b  ss=  ds=  es=  fs=003b  gs=             efl=

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\AcroRd32.dll -

AcroRd32!DllCanUnloadNow+0x150524:

64f7e84b 8b06            mov     eax,dword ptr [esi]  ds::3ef2cc90=????????

我们往前面看一下会发现esi来自ecx,而由于ecx就是this指针,这里怀疑是对象指针。再后面看一下又有call    dword ptr [eax+364h]。于是重新加载启用堆分配记录。如下

:> !heap -p -a esi

    address 3eaeac90 found in

    _DPH_HEAP_ROOT @

    in free-ed allocation (  DPH_HEAP_BLOCK:         VirtAddr         VirtSize)

                                   3136171c:         3eaea000             0b2 verifier!AVrfDebugPageHeapFree+0x000000c2

     ntdll!RtlDebugFreeHeap+0x0000002f

    77737aca ntdll!RtlpFreeHeap+0x0000005d

    77702d68 ntdll!RtlFreeHeap+0x00000142

    768af1ac kernel32!HeapFree+0x00000014

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Windows\system32\MSVCR100.dll -

    6b41016a MSVCR100!free+0x0000001c

    627e1325 AcroRd32!CTJPEGLibInit+0x0000f6d5

    6290c2af AcroRd32!DllCanUnloadNow+0x0010df88

    628b3381 AcroRd32!DllCanUnloadNow+0x000b505a

    6294723b AcroRd32!DllCanUnloadNow+0x00148f14

    628980b1 AcroRd32!DllCanUnloadNow+0x00099d8a

    62e54bbf AcroRd32!CTJPEGRotateOptions::operator=+0x001b0aa3

    628980b1 AcroRd32!DllCanUnloadNow+0x00099d8a

    62cfabca AcroRd32!CTJPEGRotateOptions::operator=+0x00056aae

    62cfb275 AcroRd32!CTJPEGRotateOptions::operator=+0x00057159

    62cf93be AcroRd32!CTJPEGRotateOptions::operator=+0x000552a2

    62da391e AcroRd32!CTJPEGRotateOptions::operator=+0x000ff802

    62da3b7c AcroRd32!CTJPEGRotateOptions::operator=+0x000ffa60

    62da3eca AcroRd32!CTJPEGRotateOptions::operator=+0x000ffdae

*** WARNING: Unable to verify checksum for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api -

    64989a3a Annots!PlugInMain+0x00078015

    6498a692 Annots!PlugInMain+0x00078c6d

    6498af61 Annots!PlugInMain+0x0007953c

*** WARNING: Unable to verify checksum for C:\Program Files\Adobe\Reader .\Reader\plug_ins\EScript.api

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\plug_ins\EScript.api -

    66e2a8e8 EScript!PlugInMain+0x000392b6

    66dfff65 EScript!PlugInMain+0x0000e933

    66e19749 EScript!PlugInMain+0x00028117

    66e157ec EScript!PlugInMain+0x000241ba

    66e378e6 EScript!PlugInMain+0x000462b4

    66e3786c EScript!PlugInMain+0x0004623a

    66e36951 EScript!PlugInMain+0x0004531f

    66e3626c EScript!PlugInMain+0x00044c3a

    66e342da EScript!PlugInMain+0x00042ca8

    64989e26 Annots!PlugInMain+0x00078401

很明显是已经释放的内存块,那我们来看下这个内存块是在哪里分配的。通过对分配函数下断向前摸到了这块内存的分配记录

:> !heap -p -a 04878de8

    address 04878de8 found in

    _DPH_HEAP_ROOT @ 45f1000

    in busy allocation (  DPH_HEAP_BLOCK:         UserAddr         UserSize -         VirtAddr         VirtSize)

                                 48f05e4:          4878de8               -

    77888e89 verifier!AVrfDebugPageHeapAllocate+0x00000229

    77774ea6 ntdll!RtlDebugAllocateHeap+0x00000030

    77737d96 ntdll!RtlpAllocateHeap+0x000000c4

    777034ca ntdll!RtlAllocateHeap+0x0000023a

    6b7709ee MSVCR100!unlock+0x000000ba

    6b771e32 MSVCR100!calloc_crt+0x00000016

    6b771d93 MSVCR100!mbtowc_l+0x000001be

    6b771e16 MSVCR100!mbtowc_l+0x00000241

    7770af24 ntdll!LdrpCallInitRoutine+0x00000014

    7770b511 ntdll!LdrpInitializeThread+0x0000015b

    7770b298 ntdll!_LdrpInitialize+0x000001ad

    7770b2c5 ntdll!LdrInitializeThunk+0x00000010

最后再看一下重用时的操作

:> kp

ChildEBP RetAddr

WARNING: Stack unwind information not available. Following frames may be wrong.

001fe028 64f7e0d2 AcroRd32!DllCanUnloadNow+0x150524

001fe04c 64f7f3e3 AcroRd32!DllCanUnloadNow+0x14fdab

001fe054 64f7d996 AcroRd32!DllCanUnloadNow+0x1510bc

001fe0a0 64f7c68c AcroRd32!DllCanUnloadNow+0x14f66f

001fe0d0 64f7c50e AcroRd32!DllCanUnloadNow+0x14e365

001fe160 64f7c206 AcroRd32!DllCanUnloadNow+0x14e1e7

001fe170 64f7c1a1 AcroRd32!DllCanUnloadNow+0x14dedf

001fe17c 64ed712e AcroRd32!DllCanUnloadNow+0x14de7a

001fe1a8 64f7ae0e AcroRd32!DllCanUnloadNow+0xa8e07

001fe1d8 64f76d1d AcroRd32!DllCanUnloadNow+0x14cae7

001fe1fc 64f76bf1 AcroRd32!DllCanUnloadNow+0x1489f6

001fe214 64f7434c AcroRd32!DllCanUnloadNow+0x1488ca

001fe2ac 64e2e440 AcroRd32!DllCanUnloadNow+0x146025

001fe2d8 64f73a64 AcroRd32!DllCanUnloadNow+0x119

001fe300 653d38ef AcroRd32!DllCanUnloadNow+0x14573d

001fe37c 653d3b7c AcroRd32!CTJPEGRotateOptions::operator=+0xff7d3

001fe390 653d3eca AcroRd32!CTJPEGRotateOptions::operator=+0xffa60

*** WARNING: Unable to verify checksum for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\Adobe\Reader .\Reader\plug_ins\Annots.api -

001fe39c 63009a3a AcroRd32!CTJPEGRotateOptions::operator=+0xffdae

001fe3b0 6300a692 Annots!PlugInMain+0x78015

001fe3c8 6300af61 Annots!PlugInMain+0x78c6d

CVE-2013-3346Adobe Reader和Acrobat 内存损坏漏洞分析的更多相关文章

  1. Linux Kernel 本地内存损坏漏洞

    漏洞名称: Linux Kernel 本地内存损坏漏洞 CNNVD编号: CNNVD-201310-663 发布时间: 2013-11-05 更新时间: 2013-11-05 危害等级:    漏洞类 ...

  2. Linux kernel 内存损坏漏洞

    漏洞名称: Linux kernel 内存损坏漏洞 CNNVD编号: CNNVD-201310-143 发布时间: 2013-10-11 更新时间: 2013-10-11 危害等级: 中危   漏洞类 ...

  3. PHP ‘asn1_time_to_time_t’函数内存损坏漏洞

    漏洞名称: PHP ‘asn1_time_to_time_t’函数内存损坏漏洞 CNNVD编号: CNNVD-201312-348 发布时间: 2013-12-18 更新时间: 2013-12-18 ...

  4. Linux Kernel 释放后重用内存损坏漏洞

    漏洞名称: Linux Kernel 释放后重用内存损坏漏洞 CNNVD编号: CNNVD-201307-305 发布时间: 2013-07-18 更新时间: 2013-07-18 危害等级:    ...

  5. CVE-2010-3971 CSS内存破坏漏洞分析

    看了仙果版主的议题演讲,其中提到cve-2010-3971是一个浏览器漏洞利用中的里程碑.于是找来POC,尝试分析一下. 1.漏洞重现 XP SP3+ie6.0环境 poc如下: poc.htm &l ...

  6. CVE-2013-2729 Adobe Reader和Acrobat 数字错误漏洞

    这个洞是在论坛里看到的,感觉很有意思,来学习一下.个人感觉IE或者说是浏览器的洞和Adobe洞都是比较难调的,主要是有大量的类难以摸清之间的关系. 这个洞是一个整数溢出的洞,这个不是重点.重点是利用的 ...

  7. 安装vs2013以后,链接数据库总是报内存损坏,无法写入的错误

    安装vs2013以后,链接数据库总是报内存损坏,无法写入的错误 这个错误几个月以前解决过一次,但是到又碰到的时候,竟然完全忘记当时怎么解决的了, 看来上了年纪记忆真是越来越不行了... 解决方案很简单 ...

  8. CVE-2010-2883Adobe Reader和Acrobat CoolType.dll栈缓冲区溢出漏洞分析

       Adobe Acrobat和Reader都是美国Adobe公司开发的非常流行的PDF文件阅读器. 基于Window和Mac OS X的Adobe Reader和Acrobat 9.4之前的9.x ...

  9. PHP Fileinfo组件越界内存破坏漏洞

    漏洞版本: PHP PHP 5.x 漏洞描述: BUGTRAQ ID: 66002 CVE(CAN) ID: CVE-2014-2270 PHP是一种HTML内嵌式的语言. PHP的file程序在解析 ...

随机推荐

  1. bzoj1874 [BeiJing2009 WinterCamp]取石子游戏

    1874: [BeiJing2009 WinterCamp]取石子游戏 Time Limit: 5 Sec  Memory Limit: 162 MBSubmit: 925  Solved: 381[ ...

  2. python学习(21) smtp发送邮件

    原文链接: https://www.jianshu.com/p/369ec15bfe22 本文介绍python发送邮件模块smtplib以及相关MIME模块.smtplib用于生成邮件发送的代理,发送 ...

  3. array_multisort 二维数组排序

    用PHP自带array_multisort函数排序 <?php $data = array();    $data[] = array('volume' => 67, 'edition' ...

  4. Docker简介与安装配置

    目录 Docker简介 什么是Docker 为啥要用容器 Docker Engine Docker架构说明 Docker安装 Docker版本介绍 Ubuntu安装docker-ce CentOS7安 ...

  5. Java质数求解

    质数概念 质数,又称素数,指在一个大于1的自然数中,除了1和此整数自身外,无法被其他自然数整除的数(也可定义为只有1和本身两个因数的数).最小的素数是2,也是素数中唯一的偶数:其他素数都是奇数.质数有 ...

  6. css overflow用法

    1. overflow-y: auto 侧边栏滚动效果:overflow-y:auto 2. overflow-y: scroll 如果使用overflow:scroll的话,滚动条就一直都在,页面不 ...

  7. MAC 下用 Common Lisp 调试 OpenGL 程序

    MAC 下用 Common Lisp 调试 OpenGL 程序 环境搭建 运行环境: OSX 10.11.3 EI Capitan Common Lisp: SBCL 使用 SBCL, 首先要安装这几 ...

  8. 20155321 2016-2017-2 《Java程序设计》第七周学习总结

    20155321 2016-2017-2 <Java程序设计>第七周学习总结 教材学习内容总结 Date/DateFormat Date是日期类,可以精确到毫秒. 构造方法 Date() ...

  9. 博皮设计:HTML/CSS/Javascript 源码共享

    首先感谢 sevennight 对我的大力帮助,由此他也成为了我的第一位园友:其次,由于本人并不了解 HTML/CSS,因此几乎都在 李宝亨 设计的 博皮源码 的基础上进行的修改:最后,为了获得 更加 ...

  10. 【CC2530强化实训02】普通延时函数实现按键的长按与短按

    [CC2530强化实训02]普通延时函数实现按键的长按与短按 [题目要求]      用一个按键实现单击与双击的功能已经是很多嵌入式产品的常用手法.使用定时器的间隔定时来计算按键按下的时间是通用的做法 ...