KQ大牛2007年发现的一个内核0day，贴在0x557论坛，今天review CanSecWest的ring0 party的paper的时候，发现被他们公布鸟…… http://www.cr0.org/paper/to-jt-party-at-ring0.pdf (最后一页)

CVE-2010-0806 可以在ie 7上面稳定的控制指针，inking26兄弟的blog上写的很详细：http://hi.baidu.com/inking26/blog/item/bc9a014f8ba1033daec3ab38.html 推荐大家好好阅读和实践一下。

1) free:
把tear_offs的object放入全局变量，再次创建和释放tear_offs object直到把最初的指针释放掉。

2) reuse object:
多次进行内存分配的请求直到LAL返回释放的指针，并且重用该指针，在我的环境上这个填充值的大小是0x28。

3) call vtable
触发vtable calling获得控制权限。

发reset包让dll unload导致dangling pointer的漏洞，exploit里面没有用到任何地址，应该是控制heap layout直接让指针指向shellcode处了。

http://www.senseofsecurity.com.au/advisories/SOS-10-002-pwn-isapi.cpp

老外那个培训我估计是依赖第三方ie插件实现的，其实可以不用第三方组件也可以达到目的。
下午抽空搞了一个PoC.  win 7下ie exploit还是挺光明的啊。

覆盖了一个8字节的stack buffer：

ModLoad: 778b0000 778b6000   C:\Windows\system32\NSI.dll
ModLoad: 4a800000 4a8a7000   C:\Program Files\Tools\Adobe\Reader 9.0\Reader\icucnv36.dll
ModLoad: 4ad00000 4ad17000   C:\Program Files\Tools\Adobe\Reader 9.0\Reader\icudt36.dll
ModLoad: 05520000 05617000   C:\Program Files\Tools\Adobe\Reader 9.0\Reader\icudt36_cjk.dll
ModLoad: 70560000 7056c000   C:\Windows\system32\ATMLIB.dll
(

LibTiff的这个漏洞是google的安全researcher taviso 在2006年的时候发现的，后来PSP，blackberry，iPhone也先后爆出受这个漏洞影响，现在开始轮到Adobe reader 9.3了（CVE-2010-0188）。

iDefense公布了几个Sun JRE的漏洞，不过目前好像无法打开他们的网站。(老漏洞，他们的rss显示有问题)
Mark Dowd report了2个比较严重的Chrome漏洞，期待公布细节。
Vulndisco 9.0中增加了一个firefox 3.6的0day exploit。

http://www.semantiscope.com/research/BHDC2010/

刚刚测试了一下，JIT spray的内存地址非常稳定，这个方法的确很牛，不过如果能够把整个shellcode放置在ABC里面的话就会让exploit更加实用，通用。

近几年绕DEP的趋势应该就是Return-Oriented Programming的shellcode，其实就是return-to-libc，但是做的更加智能一些，通过指令分析选择适合的指令，首先让ESP指向控制的数据，然后就可以构造要return的API参数。以后own一个browser不仅仅要判断agent版本，以及系统版本，还得要判断语言版本，SP版本等等，利用难度以及exp都会越来越复杂，

http://cseweb.ucsd.edu/~hovav/dist/blackhat08.pdf
http://www.immunityinc.com/downloads/DEPLIB.pdf