Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.25.05 Message-ID: <37B1D8A230C.9352DEFCON0@210.157.158.133> Date: Thu, 12 Aug 1999 05:10:10 +0900 Reply-To: DEF CON ZERO WINDOW Sender: BUGTRAQ-JP List From: DEF CON ZERO WINDOW Subject: Netscape 4.x(J.Win) embed-tag buffer-overflow X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM こんにちわ、DEF CON ZERO主催者のR00t Zer0です。　Windows用ネットスケープ・コミニュケーターのバージョン4.0～4.6において、 EMBEDタグに弱点があり、pluginspageオプションのバッファがオーバーフローします。　これは単にページを閲覧しただけでは起こらない問題ですが、ユーザーがプラグインを入手しようとする(プラグインスペースで右クリック)するとバッファオーバーフローを起こします。　pluginspageオプションのバッファの先頭から、これを処理する関数のretアドレスまでの長さは581バイトで、pluginspageオプションに585バイトの文字列を指定すれば、最後の４バイトの文字列でretアドレスに任意のアドレスを指定する事が可能になります。　これによりどのような問題がおこるのかは、 The Shadow Penguin Security(http://shadowpenguin.backsection.net/)のドキュメント(WindowsでStack overflow exploit)を見ていただければわかるとは思いますが、retアドレスに「 msvcrt.dllなどのＣランタイムライブラリなどを利用して記述したExploitコード」のアドレスを指定させれば、任意のコードを実行されたり、バックドアを仕掛ける事も可能になります。但し、Exploitコードをどこかのバッファに格納できる又はそのアドレスにジャンプさせることが可能かは現時点ではあくまでも”可能性がある”だけであり、実際に可能かどうかは定かではありません。　以下のＣのソースは、カーネルコードを利用してint 01hを実行させる cgiで、ターゲットはWindows98(kernel32.dllがVersion 4.10.1998)用です。 ------------------------------ここから------------------------------ #include int main( void ) { int loop; u_int ip; printf( "Content-type: text/html\n\n" ); printf( "\n" ); printf( "

>( loop * 8 ) ) ); printf( "\" type=\"application/x-fuckwave-hacked\" width=\"400\" height=\"280\">\n\n\n" ); return( 0 ); } ------------------------------ここまで------------------------------ -- : R00t Zer0 - http://www.ugtop.com/defcon0/index.htm : : E-Mail: defcon0@ugtop.com : : -- -- : : "HP/UX is the worst OS for the hacker..." - Mark Abene :