[公告][转帖]Microsoft Windows winhlp32.exe 堆溢出漏洞

创建时间：2004-12-23 更新时间：2004-12-23
文章属性：原创
文章提交：flashsky (flashsky1_at_sina.com)
通告:[AD_LAB-04006] Microsoft Windows winhlp32.exe 堆溢出漏洞
Class: 设计错误
DATE:12/20/2004
CVE编号:CAN-2004-1306
受威胁的系统:
    Windows NT
    Windows 2000 SP0
    Windows 2000 SP1
    Windows 2000 SP2
    Windows 2000 SP3
    Windows 2000 SP4
    Windows XP SP0
    Windows XP SP1
    Windows XP SP2
    Windows 2003
未受威胁的系统:
        目前未知
厂商:
    www.microsoft.com

1.漏洞描述：
   Microsoft Windows winhlp32.exe在解析.hlp文件的时候存在着一个堆溢出，这个漏洞是通过对windows .hlp文件
头进行解码处理时触发的。
2.技术描述
   当hlp文件是以分段来进行压缩的，他包含一个以phrase命名的内部文件，这个phrase文件由一个phrase表头和多个
phrase表组成，phrase的表头处于.hlp文件的偏移0x19处，结构定义如下：
  unsigned short wNumberOfPhrases;
  unsigned short wOneHundred;        0x0100;
  long decompressedsize;
  
  phrases表头后面立即跟着phrases表，每个phrases表项占4个字节，2个字段phrasesHeadOffset和phrasesEndOffset，
分别都是即unsigned short类型。代表phrases的头尾的偏移。
  
  处理phrases表的函数具有3个参数（在中文2000 sp4上该函数的地址是0x0100A1EF），其中第3个参数为指向phrases表
头的指针，第2个参数指向一个堆内存，用于保存phrases数据.但是在计算数据长度时并没有判断数据长度是否合法，这就
导致可以构造一个.HLP,可以覆盖由第2个参数所指向的堆内存。以下是对该函数的分析：
0100A1EF sub_100A1EF     proc near               ; CODE XREF: sub_100A14C+6Fp
.text:0100A1EF
.text:0100A1EF arg_0           = dword ptr  4
.text:0100A1EF arg_4           = dword ptr  8
.text:0100A1EF arg_8           = dword ptr  0Ch
.text:0100A1EF
.text:0100A1EF                 mov     eax, [esp+arg_8]                ;arg_8 指向phrase表头
.text:0100A1F3                 push    ebx
.text:0100A1F4                 push    esi
.text:0100A1F5                 push    edi
.text:0100A1F6                 movzx   edx, word ptr [eax+2]            ;[eax+2] -> wOneHundred
.text:0100A1FA                 mov     ecx, [eax+0Ch]                ;[eax+0Ch] -> phrase 表
.text:0100A1FD                 mov     eax, [esp+0Ch+arg_0]            ;以下计算 phrase表的偏移
.text:0100A201                 sub     eax, edx
.text:0100A203                 mov     ebx, [esp+0Ch+arg_4]
.text:0100A207                 mov     edi, eax
.text:0100A209                 shr     eax, 1
.text:0100A20B                 and     edi, 1
.text:0100A20E                 movzx   edx, word ptr [ecx+eax*2]        ;phrase_offset1
.text:0100A212                 movzx   esi, word ptr [ecx+eax*2+2]        ;phrase_offset2
.text:0100A217                 sub     esi, edx
.text:0100A219                 add     ecx, edx
.text:0100A21B                 push    esi             ; size_t            ;size = phrase_offset2 - phrase_offset1
.text:0100A21C                 push    ecx             ; void *
.text:0100A21D                 push    ebx             ; void *            ;ebx -> 第二个参数，即堆内存
.text:0100A21E                 call    ds:memmove
   在这里，存在着2个导致溢出的问题，
   1.整数溢出，如果phrasesEndOffset比phrasesHeadOffset小，phrasesEndOffset-phrasesHeadOffset为一个负数，这里并没有做检查，
实际调用memmove的时候，触发了溢出。
   2.另外，在堆分配的时候，并非是根据phrasesEndOffset-phrasesHeadOffset计算时候进行分配的，而是根据hlp文件里的另外字段进行
解码计算和分配的，由于解码和计算过程过于复杂，这里不在详细描述，只要修改一个正常的hlp文件的某个phrases表项，增大phrasesEndOffset
字段也将触发这一漏洞。
    可以通过访问 http://www.xfocus.net/flashsky/icoExp/index.html 来验证此漏洞

3.感谢
     Keji(yu_keji@venustech.com.cn) 发现并公布了此漏洞,具体的技术分析由keji,flashsky,icbm完成
     感谢启明星辰技术信息有限公司积极防御实验室的伙伴和丰收项目小组。
4.申明:
     
The information in this bulletin is provided "AS IS" without warranty of any
kind. In no event shall we be liable for any damages whatsoever including direct,
indirect, incidental, consequential, loss of business profits or special damages.
Copyright 1996-2004 VENUSTECH. All Rights Reserved. Terms of use.
VENUSTECH Security Lab
VENUSTECH INFORMATION TECHNOLOGY CO.,LTD(http://www.venustech.com.cn)
          Security
Trusted  {Solution} Provider
          Service