CVE-2010-2883的一次分析

麻辣鸡翅

漏洞编号：CVE-2010-2883
漏洞软件：Adobe Reader,Acrobat
漏洞模块：CoolType.dll
漏洞类型：栈溢出
POC：msf.7z
软件：AdbeRdr930_en_US

1.漏洞成因

CoolType.dll在解析SING表中的uniqueName时存在栈溢出漏洞。

2.漏洞分析

2.1通过字符串定位确定漏洞位置，如图所示，call strcat 就是漏洞成因所在


2.2具体分析首先打开Adobe Reader软件，利用OllyDbg附加到此进程，按下alt+e，进入程序所调用的模块空间，看到CoolType.dll模块


双击进入CoolType.dll模块，对照着在IDA中反汇编所看到的漏洞位置为0x803DDAB,在ollydbg中按下ctrl+g，输入0x803DDAB，跳转到漏洞位置，并下断点


打开msf.pdf文件，点击运行，程序会自动断到上面的断点位置，此时栈分布如图所示


在内存区域中按下ctrl+g，跳转到0x12E4D8,并设置内存访问断点（内存访问断点可以保证之后程序在引用此内存区域数据时停下来）


一直按F9运行，往断点位置写数据时会多次在内存断点位置停下来


多次ctrl+F9之后程序返回到用户空间，（此处不要太着急，可能要运行很多次，不要按的太快，否则就会直接执行到结束）


继续逐步运行程序，这里一直按F8 可能会直接执行结束，我们要在call函数时步入，逐步运行，运行到0x808B308的时候就会看到程序下一步要跳转到0x4A80CB38的位置(即ROP链的位置）


最终跳到ROP链中


完整的ROP链就不再贴出，其主要功能就是将shellcode写入到一段可执行可读写的内存段，以绕过DEP，构造ROP链的模块icucnv.dll并不受ALSR保护，同时可以绕过ALSR


上面就是通过ROP技术绕过DEP以及实现Heap Spary的全部内容，其中0x0C0C0C0C是样本特意构造实现堆喷射的关键地址。3.漏洞修复通过BinDiff可以看到程序中的修复位置


3.源码比较

修补前：

修补后：

来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！