寻找客户端漏洞的艺术.PDFVIP

寻找客户端漏洞的艺术 图像格式中的漏洞 Venustech ADLab 赵伟 目标：客户端的漏洞？ 客户端易受攻击：IE，Outlook，Firefox， MSN，Yahoo etc. 黑客利益的驱使：Botnet，Visa ，CD- Key，DDOS etc. 发现漏洞较容易（More 0day?）：较容易 发现，新的领域 为什么挖掘图像格式中的漏洞？ Windows ，Linux等操作系统支持多种图像 格式：Bmp, GIF, JPG, ANI, PNG etc.文件 格式众多，代码复杂易找到漏洞 Windows 中很多图像格式解析的实现方式 与开源代码及其相似，经常发现同一bug☺ （Why? ） 黑客们并没有在每种格式中发现漏洞，没 有足够的“eyes”关注 为什么挖掘图像格式中的漏洞？ 从安全人员的角度： 格式众多，算法复杂容易出现漏洞 影响范围极广跨应用跨平台，例如： Windows平台上任何解析jpg 的应用， office,outlook,IE...GDIPLUS.dll Windows 内核实现对Ani 的支持，通过ie不需要用户 互动操作。谁会怀疑网页上的指针文件？ PNG Msn, libpng很多开源软件 隐蔽性严重威胁用户安全 为什么挖掘图像格式中的漏洞？ 从黑客的角度： 如果利用图像格式触发的漏洞，会降低了受害者的警 觉性，易利用社会工程学。蠕虫传播可能利用一些非 常容易让人警惕的文件格式，但我们现在讨论的是图 片格式jgp, png, ani... 不容易让人引起怀疑 多种攻击媒介，利于黑客攻击：通过网页，邮件可以 穿越防火墙的保护，IDS不易检查，需要对各种格式， 协议进行解析才能检查出漏洞攻击。 图像的基本格式 流格式由很多段构成，段里面又由标记，参数 （漏洞点），数据段构成 还可能有段里面再嵌套段（漏洞点） Gif,Ani可能包含很多帧，刷新率，帧的索引（漏 洞点） 可能会有标记图形模式的bit-map,可能会有逻辑上 的错误png /security/CESA-2004- 001.txt JPG格式中的漏洞 先来一个实际的例子： GDIPlus.DLL漏洞MS04-028 Nick DeBaggis 影响巨大，攻击很多 漏洞产生原因： JPEG格式中的注释段（COM ）由0xFFFE开始(标记)+2字节得 注释段字节数(参数) +注释（数据）构成。因为字节数这个参 数值包含了本身所占的2字节，所以GDIPLUS.dll在解析jpg格 式文件中的注释段时会把这个值减去2，如果这个值设置成0， 1就会产生整数溢出。 JPG格式中的漏洞 是不是觉得很相似？☺ 2000 Solar Designer 发现了Netscape浏览器 的JPEG解析漏洞，与Nick DeBaggis发现的漏 洞原理是相同的。 /advisories/OW-002- netscape-jpeg.txt 另一个相似的例子 Stefan Esser发现的XBOX Dashboard local vulnerability，该漏洞存在于XBOX Dashboard对.wav格式和.xtf格式文件的解 析上，虽然说不是图形格式但漏洞原理却 相同。 细节：同样存在一个size参数这次是它本身 的大小是4字节，所以当size值为0-3时就会 发生整数溢出。 疑问 疑问：为什么会一再出现同类型的漏洞？ 是否程序员们从概念上忽略了某些问题？ 为什么都是整数溢出漏洞？ 此类漏洞的本质是什么？ 是否还有这种漏洞？ 问题的本质 这些文件格式是由很多“段”构成的数据流，而每 个段由：标记，参数，数据等结构构成，在程序 解析这些文件格式的时候会依据“标记