百度空间 | 百度首页 
 
查看文章
  
PDFiD 可以检测到这个PDF 0day了
2009-10-14 21:37
白天打点滴回来,看到论坛里面有朋友提到PDFiD可以检测这个0day:
http://blog.didierstevens.com/2009/10/13/update-pdfid-version-0-0-9-to-detect-another-adobe-0day/

抽空看了一下还是PDF本身的问题,漏洞原理是因为/Colors 跟随大整数会导致某个static的内存指针的值+1,这样本来读的是0内存地址,+1后最高字节有值了,就会变成一个比较高的内存地址,然后直接call这个地址,所以需要配合heapspray来获得利用。

类别:网络安全 | 添加到搜藏 | 浏览() | 评论 (4)
 
最近读者:
 
网友评论:
1
2009-10-15 07:54 | 回复
这个漏洞和之前一个InflateParam还是什么的参数导致的heap溢出外在的表现形式就是一样的,如果之前的signature检查了Colors后面的整数,这个漏洞将是被自动cover,呵呵~
 
2
2009-10-15 10:13 | 回复
"如果之前的signature检查了Colors后面的整数"

这个功能得需要正则表达式吧……
 
3
2009-10-15 10:30 | 回复
大部分ips都可以提取这个参数。
 
4
2009-10-27 08:44 | 回复
DM,这个name在PDF里的表示形式可以变换的,简单的提取可能难以根治啊
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu