Microsoft Publisher任意指针引用远程代码执行漏洞(MS07-037)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1191555 漏洞类型 输入验证
发布时间 2007-02-26 更新时间 2007-02-27
CVE编号 CVE-2007-1117 CNNVD-ID CNNVD-200702-503
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200702-503
|漏洞详情
Publisher是微软Office办公软件套件中用于创建、个性化和共享各种出版物和营销材料的工具。Publisher在处理文件格式的转换时存在漏洞,远程攻击者可能利用这些漏洞控制用户系统。PUBCONV.DLL是Publisher中使用的转换库,用于将之前版本的Publisher文件转换为Publisher2007可渲染的格式。PUBCONV.DLL的3452EC8C和34530514函数中存在指针覆盖漏洞,在可利用代码部分之前,34542916函数从旧格式的Publisher98文件的文本框对象拷贝了1Eh字节的记录,然后注入到了栈变量中。仅以Publisher98格式存储的文件才包含有嵌入的文本框对象,受这个漏洞影响。所加载数据的结构如下:+00hWORDnumberofentries(0016h)+02hWORDsame?(0016h)+04hWORDsizeofeachentry(001Eh)+06h[0Ch]{0}+12hint[]arrayof'numberofentries'integersgetsbinarysearchedbysub_345309CEtoconvertinttoindexx+00hDWORD???(7F666666h)x+04hint[]arrayof'numberofentries'structures,ofsize'sizeofeachentry'+00hDWORD**SanitizationCheckInteger(EEEEEEEEEEEEEEh)+04hDWORDindexofentry?(1..16h)+08hPTR**ArbitraryPointer(41414141h)**+0ChPTR**ArbitraryPointer(42424242h)**恶意文件中有漏洞部分的16进制dump如下:0000f130h:0016161E00016666667F01EEEEEEEEEE;...`..fff¬.îîîîî0000f140h:EEEEEE00000001414141414242424200;îîî....AAAABBBB.34542916函数将数据结构拷贝到内存后,正常情况下3452EC8C函数会过滤0x08h和0x0Ch的指针是否为空。该函数将过滤检查整数的值加载到ESI然后与0做比较,如果该值为负数的话(如上面所
|参考资料

来源:MISC
链接:http://research.eeye.com/html/advisories/upcoming/20070216.html
来源:OSVDB
名称:45264
链接:http://osvdb.org/45264
来源:MISC
链接:http://news.com.com/2100-1002_3-6161835.html
来源:BID
名称:22702
链接:http://www.securityfocus.com/bid/22702