雅虎通ywcvwr.dll远程堆溢出漏洞

2007-08-21T00:00:00
ID SSV:2148
Type seebug
Reporter Root
Modified 2007-08-21T00:00:00

Description

BUGTRAQ ID: 25330

雅虎通是一款非常流行的即时通讯工具。

雅虎通在处理畸形功能请求时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。

雅虎通中有个名为webcam的功能。当webcam请求初始化的时候雅虎通会生成一个类(webcamclass),webcamclass会在这个地方(ywcvwr.dll)申请一段内存,这段内存的长度是0x400:

.text:10001737 cmp edi, [esp+0Ch+arg_0] .text:1000173B jl short loc_10001735 .text:1000173D cmp edi, 1400000h .text:10001743 jg short loc_10001752 .text:10001745 push edi .text:10001746 call j_??2@YAPAXI@Z ; operator new(uint) .text:1000174B mov ebx, eax .text:1000174D test ebx, ebx

这段内存的用处是存放从jpc解压出来的bitmap的内容,但使用用户数据包内提供的数据来作为边界判断条件:

.text:10002C5C mov [eax+2], cl ; eax是前面这个长度为0x400的buffer ………………………. .text:10002CA9 mov [eax], cl .text:10002CAB mov ecx, [ebp+var_4] .text:10002CAE add eax, [edi+5Ch] .text:10002CB1 inc esi .text:10002CB2 inc esi .text:10002CB3 cmp ecx, [edi+64h] ;bug is here .text:10002CB6 jl short loc_10002C38

[edi+64h]的内容是用户提供的pic length,只要合理的构造这个值及其它相关的值,就可以成功地实现堆溢出。

Yahoo! Messenger 8.1.0.413 临时解决方法:

  • 限制对5100/tcp端口的访问
  • 不要接受任何视频聊天请求

厂商补丁:

Yahoo!

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href="http://messenger.yahoo.com/" target="_blank">http://messenger.yahoo.com/</a>

                                        
                                            
                                                http://www.team509.com/expyahoo.rar