Zero day в Microsoft Word?

Закрывая тему: тут seclists.org/fulldisclosure/2012/Oct/170 дискуссия, в которой судя по всему участвует и исследователь который нашел уязвимость, coolkaveh. Народ склоняется к мнению что это исчерпание стека, просто resource exhaustion. Я с народом согласен, потому что тоже не вижу где тут выполнение кода. Или мы все плохо смотрим, или securitylab.ru — тупые копипастеры.

Zero day в Microsoft Word?

Ну раз я уже тут отвечаю сам себе… исключение происходит в _chkstk routine, вызов которой вставляется компилятором C когда нужно объявить локальную переменную больше 4Кб (8Кб в 64-битных системах):

_chkstk (wwlib+0x4571):
	push    ecx							
	lea     ecx,[esp+4]					
	sub     ecx,eax						
	sbb     eax,eax						
	not     eax	 						
	and     ecx,eax						

	mov     eax,esp						
	and     eax,0FFFFF000h				
										

.loop (wwlib+0x4585):					
	cmp     ecx,eax						
	jae     .leave_loop (wwlib+0x4592)
	sub     eax,1000h					
	test    dword ptr [eax],eax			
	jmp     .loop (wwlib+0x4585)		

.leave_loop (wwlib+0x4592):
	mov     eax,ecx						
	pop     ecx							
	xchg    eax,esp						
	mov     eax,dword ptr [eax]			
	mov     dword ptr [esp],eax			
	ret

В данном случае некая функция по адресу wwlib!GetAllocCounters+0x5992f хочет 5110h места на стеке, и в результате работы _chkstk routine мы получаем Stack overflow - code c00000fd вследствие исчерпания стека. Такие ошибки в комбинации с другими недочетами в коде при некоторых условиях действительно могут быть использовано для выполнения произвольного кода, но «надо что бы сошлись планеты». Копаю дальше.

Zero day в Microsoft Word?

Упс… ответил сам себе

Zero day в Microsoft Word?

* Однако в любом случае PoC обычно демонстрирует ошибку в программе которую можно проэксплуатировать
Сорри, не так напечатал.

Zero day в Microsoft Word?

Неприятно ощущать себя скрипт-кидди конечно, но может вы и правы :) Однако даже в этом случае PoC демонстрирует ошибку в программе которую можно проэксплуатировать (другое дело что PoC её или не эксплуатирует, или эксплуатирует криво, что бы те самые кидди не взяли и не заюзали as is). Здесь же PoC демонстрирует ошибку, которую по моему нельзя проэксплуатировать в смысле выполнения кода вообще. Но может конечно я просто туплю и не вижу очевидных вещей.

Реализация расширения к WinDbg: tracer машинных команд?

> Вы уверены, что вам этом поможет? Даже обычный breakpoint с навешанным на него макросом, ИМХО, работает весьма не шустро.

Не уверен, поэтому рассматриваю другие варианты тоже. Например тут ребята из McAfee предлагают интересную альтернативу вообще без debug API и без trap flag. Называется оно у них umss. Но насколько я понял дальше proof of concept дело у них не пошло (а жаль!) По этой же ссылке кстати есть и некоторые бенчмарки скорости — чисто для сравнения.

> PS как подписаться на получения e-mail при новых ответах?

Это мой первый вопрос на Хабре, поэтому я не знаю. Мне и так на почту приходит, но это наверное потому что я автор вопроса.