昨天在[这篇文章]中提到，该漏洞类似于CVE-2009-1136，而且根据现在流行的样本来看，利用方式简直一模一样。如下：

for (i=0; i<10; i++) {
x.setAttribute('s',window);
}   

window.status += '';

这种利用方式有点偶然性，我们无法精确的控制虚函数指针

tear off技术

http://blog.csdn.net/wishfly/archive/2008/01/16/2046594.aspx

ATL源码学习4---TearOff接口支持

http://blog.csdn.net/tttyd/archive/2009/09/22/4580464.aspx

ATL Tear-Off Interfaces

http://www.codeguru.com/cp

这才是政协委员，嗯

该漏洞从原理和利用上和CVE-2009-1136比较相似，也是按照某一种方法将对象的引用计数减到0。从流行的样本来看，利用方式并不是特别稳定。

记录下这两篇文章，最近事儿多，有点来不及看了

MS10-004 and the Obsolete Conundrum

http://blog.monkeypotion.net/gameprog/beginner/love-and-hate-between-msvc-and-crt

算是相关文章中写的比较好的一篇了，记录一下。

在FD上看到了这个BUG，之前发现过这个问题，不过很遗憾，暂时不知道如何利用。

这是一个未初始化对象成员错误，具体位置为C*Element（这里为CLiElement）的偏移0x10处，这个指针指向一个结构，结构的偏移0处为一个指向自身（？）的对象指针，偏移为4处指向父级DOM元素。当调用document.createElement("li")时，代码并不对该成员进行初始化，从而导致了空指

09年最强吐槽片，期待第二季，传送地址

地址在这里，顺势更新下了《[记录]CVE-2010-0249》，另外推荐一篇牛文