2021年微软MS09002漏洞分析报告漏洞预警电脑资料

1、微软MS09002漏洞分析报告漏洞预警电脑资料 瑞星反病毒研究员 叶超 Inter Explorer的CFunctionPointer函数没有正确处理文档对象，如果以特定序列附加并删除了对象，就可以触发内存破坏， 该弱点实际存在于mshtml.dll中。CFunctionPointer对象在其构造函数中没有正确地引用文档对象（标签对象或其它），导致该文档对象可能在CFunctionPointer对象释放前被释放，而CFunctionPointer会继续使用这个已经被销毁的文档对象。 这是CFunctionPointer的构造函数: public: _thiscall CFunctionPoin

2、ter:CFunctionPointer(class CBase *, long) .text:775E7BE9 mov edi, edi .text:775E7BEB push ebp .text:775E7BEC mov ebp, esp .text:775E7BEE push esi .text:775E7BEF mov esi, ecx .text:775E7BF1 call ?0CBaseQAEXZ ; CBase:CBase(void) .text:775E7BF6 mov ecx, ebp+pOwner .text:775E7BF9 test ecx, ecx .text:775

3、E7BFB mov eax, ebp+pISecurityContext .text:775E7BFE mov dword ptr esi, offset ?_7CFunctionPointer6B ; const CFunctionPointer:vftable .text:775E7C04 mov esi+10h, ecx / 设置关联文档对象 在设置文档对象时，CFunctionPointer的构造函数仅仅是简单的将其赋给edi+10h，而没有对其进行引用(AddRef)。 而在CFunctionPointer其他函数中几乎都使用了该关联文档对象指针，例如实现IUnknown:AddRe

4、f的CFunctionPointer:PrivateAddRef,实现IUnknown:Release的CFunctionPointer:PrivateRelease。 这是CFunctionPointer:PrivateAddRef函数: virtual unsigned long CFunctionPointer:PrivateAddRef(void) .text:775E7A21 arg_0 = dword ptr 8 .text:775E7A21 mov edi, edi .text:775E7A23 push ebp .text:775E7A24 mov ebp, esp .text

5、:775E7A26 push esi .text:775E7A27 mov esi, ebp+arg_0 ; this .text:775E7A2A mov eax, esi+10h ;获得文档对象指针 .text:775E7A2D test eax, eax .text:775E7A2F jz short loc_775E7A3D .text:775E7A31 cmp dword ptr esi+4, 0 .text:775E7A35 jz short loc_775E7A3D .text:775E7A37 mov ecx, eax ;取第一个DWORD,即虚表指针 .text:775E7A39 push eax .text:775E7A3A call dword ptr ecx+4 ;调用+4位置给出的函数,即AddRef 例如在CFunctionPointer:PrivateAddRef中，如果文档对象已经被销毁，那么将获得不可预知的虚表指针，接下来执行call dword ptr ecx+4后，将跳转到一个不可预知地址去执行 ，在一般情况下会导致IE崩溃， 攻击者可以以特定的步骤，使CFunctionPointer对象的关联文档对象在CFunctio nPointer对象释放前被释放，接着再引用该CFunctionPointer对象，致使已经被释