安全客
最近拿到一些 HWP(韩文字处理程序) 的漏洞样本,花了几天时间调试了一下,本文记述了我对其中一个样本的调试过程。
不久前看到一篇对CVE-2017-11826的分析,看的过程中想到去年看过的《重装上阵-office攻击来袭》,深感之前分析这个漏洞时并没有分析得很清楚,于是又重新调试了一下,并把CVE-2015-1641也一并重新分析了一下。
当看到国外的安全公司checkpoint也发了一篇关于CVE-2018-0802的分析文章时,我仔细阅读了一下,然后意识到这个漏洞和国内厂商报的CVE-2018-0802并不是同一个漏洞。在复现的过程中,发现checkpoint的CVE-2018-0802漏洞其实位于Matrix record(0x05)的解析逻辑内。
前段时间调试了一下CVE-2017-11882,分析过程中发现CVE-2017-11882和CVE-2012-0158很像。上周末我决定重新分析一下0158这个经典的栈溢出漏洞。
CVE-2017-11882是微软本月公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统。是一个非常经典的栈溢出漏洞。上次出现这么典型的office栈溢出漏洞是著名的CVE-2012-0158。本文将深入分析该漏洞背后的机制,并在此基础上讲一下poc的构造方法,利用思路及动态检测方式。
该漏洞是和CVE-2015-1641一样经典的类型混淆漏洞。这篇文章中,我将分析该漏洞的触发原理,并在此基础上尝试构造该漏洞的一个简单利用,最后给出该漏洞的动态检测方案。
勋章成就
稿费总计 3700
发表文章 6
参与讨论 7
关注
0
粉丝
18