flashsky (flashsky1_at_sina.com)

[安全通告]
通告:[AD_LAB-04004] Microsoft Windows LoadImage API 整数溢出触发缓冲区溢出
分类:范围检查错误
日期:12/20/2004
远程:允许远程攻击者通过WEB页面攻击
CVE编号:
受威胁的系统:
Windows NT
Windows 2000 SP0
Windows 2000 SP1
Windows 2000 SP2
Windows 2000 SP3
Windows 2000 SP4
Windows XP SP0
Windows XP SP1
Windows 2003
未受威胁的系统:
windows xp sp2
厂商:
www.microsoft.com

1.漏洞描述：
WINDOWS的USER32库的LoadImage系统API 存在着整数溢出触发的缓冲区溢出漏洞，这个API允许加载一个bmp,cur,ico,ani格式的图标
来进行显示，并根据图片格式里说明的大小加4来进行数据的拷贝，如果将图片格式里说明的大小设置为0xfffffffc-0xffffffff,则将触发
整数溢出导致堆缓冲区被覆盖。攻击者可以构造恶意的bmp,cur,ico,ani格式的文件，嵌入到HTML页面，邮件中，发送给被攻击者，成功利
用该漏洞则可以获得系统的权限。

2.技术细节：
LoadImage函数的定义如下
HANDLE LoadImage(
HINSTANCE hinst,
LPCTSTR lpszName,
UINT uType,
int cxDesired,
int cyDesired,
UINT fuLoad);
lpszName参数是用户指定的图标文件,uType参数可以指定为IMAGE_BITMAP加载一个BMP文件，IMAGE_CURSOR加载一个cur或ani文件，
IMAGE_ICON加载一个ico文件。
在LoadImage内部对这bmp,cur,ico,ani格式的长度的解析并没有做有效的检查，产生错误的代码如下：
由ANI或CUR触发的时候：
.text:77D56178 mov eax, [ebx+8] <------------读取我们设置的值
.text:77D5617B mov [ebp+dwResSize], eax
.text:77D5617E jnz short loc_77D56184
.text:77D56180 add [ebp+dwResSize], 4 <------------加4,整数溢出
.text:77D56184
.text:77D56184 loc_77D56184: ; CODE XREF: sub_77D5608F+EFj
.text:77D56184 push [ebp+dwResSize] <-----------分配错误的堆内存
.text:77D56187 push 0
.text:77D56189 push dword_77D5F1A0
.text:77D5618F call ds:RtlAllocateHeap

其后的数据拷贝则是按我们给定的值进行拷贝，导致了堆的溢出。
.text:77D561A9 mov ecx, [ebx+8]
.text:77D561AC mov esi, [ebx+0Ch]
.text:77D561AF add esi, [ebp+arg_0]
.text:77D561B2 mov edx, ecx
.text:77D561B4 shr ecx, 2
.text:77D561B7 mov edi, eax
.text:77D561B9 rep movsd
.text:77D561BB mov ecx, edx
.text:77D561BD and ecx, 3
.text:77D561C0 rep movsb

相应的，在处理ico,bmp图片的时候，一样存在着该漏洞，对应的错误代码不再一一显示出。
可以通过访问 http://www.xfocus.net/flashsky/icoExp/index.html 来验证此漏洞

3.感谢:
Flashsky (fangxing@venustech.com.cn;flashsky@xfocus.org)发现并公布了此漏洞的具体技术细节
感谢启明星辰技术信息有限公司积极防御实验室的伙伴和丰收项目小组。

4.申明:

The information in this bulletin is provided "AS IS" without warranty of any
kind. In no event shall we be liable for any damages whatsoever including direct,
indirect, incidental, consequential, loss of business profits or special damages.

Copyright 1996-2004 VENUSTECH. All Rights Reserved. Terms of use.

VENUSTECH Security Lab
VENUSTECH INFORMATION TECHNOLOGY CO.,LTD(http://www.venustech.com.cn)