基于FuzzingActiveX控件漏洞发掘技术.pdfVIP

第28卷第9期 计算机应用 V01．28No．9 2008年9月 ComputerApplications Sep．2008 文章编号：1001-9081(2008)09-2252-03 基于Fuzzing的ActiveX控件漏洞发掘技术 吴毓书，周安民，吴少华，何永强，徐威 (四川大学信息安全研究所，成都610064) (cuit_xiao@163．calm) 方软件安装的控件进行测试，发现了两个已知和一个未知的漏洞，提高了漏洞发掘效率。 关键词：ActicvX控件；漏洞；漏洞挖掘；Fuzzing技术 中图分类号：TP393．08文献标志码：A ActiveX basedon vulnerabilityexploitingtechnique Fuzzing WU Wei Yu—shu，ZHOUAn—min，WUShao—hua，HE Yong—qiang，XU Sichuan (Institute 610064，China) ofInformationSecurity，SichuanUniversity,Chengdu isallautomated basedon Abstract：Fuzzing vulnerabilityexploitingtechnique．Avulnerabilityexploitingapproach andthetechnicaldetailsofAetiveXwas fuzzerwas effective ofdata Fuzzing proposed．A designed，andimplementation was some software’SActiveX unreleasedandtwoknownvulnerabilities generationadvanced．Bytestingthird—part controls，one werediscoveredandthe oftheAetiveXfuzz efficiency w嬲improved． words：ActiveX Key controls；vulnerability；vulnerabilityexploiting；Fuzzingtechnique 告，在2001年只有一份关于ActiveX控件漏洞的报告，而仅在 0 引言 漏洞是在硬件、软件、协议的具体实现或系统安全策略E 漏洞报告数量是前五年发现漏洞数苣的总和。在2007年里， 存在的缺陷，从而可以使攻击者能够在未授权的情况下访问 Microsoft 或破坏系统。系统漏洞不仅是黑客攻防的焦点，也是病毒、木 件中也频频曝出控件漏洞。 马传播的重要途径，这给用户带来巨大的危害。所以及时发 目前，ActiveX控件技术被第三方软件厂商广泛使用， 现并修补系统漏洞对维护系统安全具有重要的意义。 ActiveX控件在网上发布的软件安装包中随处nr见，例如在线 漏洞挖掘是一个多种漏洞挖掘技术相互结合、共同使用、