Подробности переполнения буфера в URLMON.DLL

Переполнение буфера происходит, когда программа, использующая уязвимую DLL, получает HTTP ответ с чрезмерно длинным значением полей "Content-type" и "Content-encoding".

Эксплуатируя эту уязвимость, атакующий может запустить произвольный код на компьютере жертвы, при просмотре злонамеренной страницы или HTML почтового сообщения. Для эксплуатации уязвимости в Outlook достаточно предварительного просмотра злонамеренного сообщения.

Для успешной эксплуатации не требуется сценария, ActiveX или чтолибо типа IFRAME – достаточно только тэга IMG, т.е. установки зоны безопасности никак не вляют на обнаруженную уязвимость. Для успешной эксплуатации уязвимости по различным причинам может использоваться только тэг IMG. Если злонамеренный HTTP ответ идет с нормальным HTML документом, Internet Explorer зависнет или завершит работу без каких либо предупреждений.

Если требования выполнены (оба поля заголовка содержат значения правильных размеров и используется тэг IMG), уязвимость сводится к тривиальной эксплуатации переполнения стека. Адрес возврата может быть перезаписан значением "Content-encoding" размером около 300 байт. Пример:

#!/usr/bin/perl # # Name this file as "urlmon-bo.cgi" # $LONG="A"x300; 
print "Content-type: $LONG\r\n"; print "Content-encoding: $LONG\r\n"; print "\r\n";
<html> <body> <img src="urlmon-bo.cgi"> </body> </html>

Для устранения уязвимости, скачайте соответствующее обновление:

http://securitylab.ru/?ID=37426