Microsoft Publisher任意指针引用远程代码执行漏洞(MS07-037)

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1191571 漏洞类型 资源管理错误
发布时间 2007-02-23 更新时间 2007-07-13
CVE编号 CVE-2007-1754 CNNVD-ID CNNVD-200707-161
漏洞平台 N/A CVSS评分 9.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200707-161
|漏洞详情
"Publisher是微软Office办公软件套件中用于创建、个性化和共享各种出版物和营销材料的工具。Publisher在处理文件格式的转换时存在漏洞,远程攻击者可能利用这些漏洞控制用户系统。PUBCONV.DLL是Publisher中使用的转换库,用于将之前版本的Publisher文件转换为Publisher2007可渲染的格式。PUBCONV.DLL的3452EC8C和34530514函数中存在指针覆盖漏洞,在可利用代码部分之前,34542916函数从旧格式的Publisher98文件的文本框对象拷贝了1Eh字节的记录,然后注入到了栈变量中。仅以Publisher98格式存储的文件才包含有嵌入的文本框对象,受这个漏洞影响。所加载数据的结构如下:+00hWORDnumberofentries(0016h)+02hWORDsame?(0016h)+04hWORDsizeofeachentry(001Eh)+06h[0Ch]{0}+12hint[]arrayof'numberofentries'integersgetsbinarysearchedbysub_345309CEtoconvertinttoindexx+00hDWORD???(7F666666h)x+04hint[]arrayof'numberofentries'structures,ofsize'sizeofeachentry'+00hDWORD**SanitizationCheckInteger(EEEEEEEEEEEEEEh)+04hDWORDindexofentry?(1..16h)+08hPTR**ArbitraryPointer(41414141h)**+0ChPTR**ArbitraryPointer(42424242h)**恶意文件中有漏洞部分的16进制dump如下:0000f130h:0016161E00016666667F01EEEEEEEEEE;...`..fff¬.îîîîî0000f140h:EEEEEE00000001414141414242424200;îîî....AAAABBBB.34542916函数将数据结构拷贝到内存后,正常情况下3452EC8C函数会过滤0x08h和0x0Ch的指针是否为空。该函数将过滤检查整数的值加载到ESI然后与0做比较,如果该值为负数的话(如上面
|参考资料

来源:US-CERT
名称:TA07-191A
链接:http://www.us-cert.gov/cas/techalerts/TA07-191A.html
来源:SECTRACK
名称:1018353
链接:http://www.securitytracker.com/id?1018353
来源:BUGTRAQ
名称:20070710EEYE:MicrosoftPublisher2007ArbitraryPointerDereference
链接:http://www.securityfocus.com/archive/1/archive/1/473309/100/0/threaded
来源:MS
名称:MS07-037
链接:http://www.microsoft.com/technet/security/Bulletin/ms07-037.mspx
来源:VUPEN
名称:ADV-2007-2479
链接:http://www.frsirt.com/english/advisories/2007/2479
来源:SECUNIA
名称:25988
链接:http://secunia.com/advisories/25988
来源:MISC
链接:http://research.eeye.com/html/advisories/published/AD20070710.html
来源:HP
名称:SSRT071446
链接:http://archive.cert.uni-stuttgart.de/bugtraq/2007/07/msg00254.html
来源:USGovernmentResource:oval:org.mitre.oval:def:1871
名称:oval:org.mitre.oval:def:1871
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:1871