漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-060702
漏洞标题:迅雷chrome插件栈溢出可导致执行任意代码
相关厂商:迅雷
漏洞作者: fate0
提交时间:2014-05-14 14:49
修复时间:2014-08-12 14:50
公开时间:2014-08-12 14:50
漏洞类型:远程代码执行
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-14: 细节已通知厂商并且等待厂商处理中
2014-05-16: 厂商已经确认,细节仅向厂商公开
2014-05-19: 细节向第三方安全合作伙伴开放
2014-07-10: 细节向核心白帽子及相关领域专家公开
2014-07-20: 细节向普通白帽子公开
2014-07-30: 细节向实习白帽子公开
2014-08-12: 细节向公众公开
简要描述:
迅雷是迅雷公司开发的互联网下载软件。迅雷是一款基于多资源超线程技术的
下载软件.安装迅雷时,向导会建议用户安装相关浏览器扩展,其中chrome浏览器
下的Thunder Download Extension for Chrome扩展(简称迅雷chrome扩展)存
在栈溢出漏洞,安装了迅雷chrome扩展的用户在浏览恶意网页时,可能执行任意代码.
thanks: 金龟子
详细说明:
版本:
测试环境:
win 2003 默认配置
查看迅雷chrome扩展manifest.json文件时,发现该扩展使用了NPAPI(Netscape
Plugin Application Programming Interface,网景插件应用程序接口)实现了xl_chrome.dll,
并且public属性为true,所以xl_chrome可以被任意网页调用.
POC:
xl_chrome实现的AddBlackListWebsite存在栈溢出(AddBlackListPage应该也有,其他未作测试)
利用mona查看程序相关保护
嗯。。。需要bypass SafeSEH,查找bypass SafeSEH的地址
最后选择0x00270b0b作为跳转地址
命令行
Immunity Debugger 附加到chrome弹出对话框显示的进程id,chrome打开上面POC网页,F12打开console,输入exploit() (为了方便调试写成一个函数),会触发一个写异常
忘记说了,因为程序带有GS,所以只能通过覆盖SafeSEH,触发异常来进入异常处理函数,
这个时候异常链已经被我们覆盖成
其中的0x00270B0B就是我们选取bypass SafeSEH的地址
最后又回到了我们可控的地方
剩下的就是shellcode的问题了
漏洞证明:
修复方案:
NPAPI,google早就说要弃用了吧,为什么大迅雷还敢继续用
版权声明:转载请注明来源 fate0@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-05-16 10:14
厂商回复:
感谢您的反馈,正在修正这个问题,另外弃用NPAPI插件是在我们的计划之中的,新插件还在测试中。
最新状态:
暂无