Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.25.05 Message-ID: <37B1D8A230C.9352DEFCON0@210.157.158.133> Date: Thu, 12 Aug 1999 05:10:10 +0900 Reply-To: DEF CON ZERO WINDOW Sender: BUGTRAQ-JP List From: DEF CON ZERO WINDOW Subject: Netscape 4.x(J.Win) embed-tag buffer-overflow X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM こんにちわ、DEF CON ZERO主催者のR00t Zer0です。  Windows用ネットスケープ・コミニュケーターのバージョン4.0〜4.6において、 EMBEDタグに弱点があり、pluginspageオプションのバッファがオーバーフローし ます。  これは単にページを閲覧しただけでは起こらない問題ですが、ユーザーがプラ グインを入手しようとする(プラグインスペースで右クリック)するとバッファオ ーバーフローを起こします。  pluginspageオプションのバッファの先頭から、これを処理する関数のretアド レスまでの長さは581バイトで、pluginspageオプションに585バイトの文字列を指 定すれば、最後の4バイトの文字列でretアドレスに任意のアドレスを指定する事 が可能になります。  これによりどのような問題がおこるのかは、 The Shadow Penguin Security(http://shadowpenguin.backsection.net/)のドキュ メント(WindowsでStack overflow exploit)を見ていただければわかるとは思いま すが、retアドレスに「 msvcrt.dllなどのCランタイムライブラリなどを利用し て記述したExploitコード」のアドレスを指定させれば、任意のコードを実行され たり、バックドアを仕掛ける事も可能になります。但し、Exploitコードをどこか のバッファに格納できる又はそのアドレスにジャンプさせることが可能かは現時 点ではあくまでも”可能性がある”だけであり、実際に可能かどうかは定かでは ありません。  以下のCのソースは、カーネルコードを利用してint 01hを実行させる cgiで、 ターゲットはWindows98(kernel32.dllがVersion 4.10.1998)用です。 ------------------------------ここから------------------------------ #include int main( void ) { int loop; u_int ip; printf( "Content-type: text/html\n\n" ); printf( "\n" ); printf( ">( loop * 8 ) ) ); printf( "\" type=\"application/x-fuckwave-hacked\" width=\"400\" height=\"280\">\n\n\n" ); return( 0 ); } ------------------------------ここまで------------------------------ -- : R00t Zer0 - http://www.ugtop.com/defcon0/index.htm : : E-Mail: defcon0@ugtop.com : : -- -- : : "HP/UX is the worst OS for the hacker..." - Mark Abene :