Plus ça change, plus c'est la même chose. - #многоходовая комбинация: Dowd’s Inhuman Flash Exploit

Некто Mark Dowd из IBM описал на 25 страницах статьи Application-Specific Attacks: Leveraging the ActionScript Virtual Machine как возможно эксплуатировать уязвимость в Flash Player, который в одном месте не проверяет удачность попытки выделения памяти.

Если описать сделанное им кратко, то получается примерно следующее:

Мы заставляем Flash Player при загрузки специально приготовленного SWF файла попросить слишком много памяти, аллокатор отказывается и возвращает NULL.
Проверки на NULL не делается, Flash Player пытается записать некоторый DWORD по некоторому адресу (NULL + offset);¹
Мы подбираем offset и DWORD так, чтобы особым образом подкрутить внутренние структуры ABC-верификатора²
Верификатор особым образом сходит с ума и начинает считать некоторые ранее незнакомые³ ему инструкции - хорошими. Внутри таких инструкций оказывается возможным спрятать от верификатора мешанину из "нехороших" инструкций, манипулирующих со стэком, и (sic!) нативного x86 кода.
После того как код прошел верификацию он запускается, при этом стэк виртуальной машины размещается на обычном стэке процессора⁴. Размер у него предвычеслен на этапе компиляции и проверен на этапе верификации. Ну а поскольку верификатор был слегка не в себе, он пропустил байткод, который пишет и читает за пределами стэка виртуальной машины, т.е. прямо из обычного стэка. Далее подмена адреса возврата и дело в шляпе.

Тут важно отметить, что подмена делается аккуратно, shellcode получает подмененный адрес возврата и может завершиться нормально, не вызывая падения Flash Player'а, т.е. незаметно для пользователя.
Вообщем я нахожусь в легком шоке от изящности сей махинации..

--
¹ — На эти числа есть ограничения, но подробнее о них вы можете прочитать в самой статье;
² — ABC - это байткод, который исполняется виртуальной ActionScript машиной. Верификатор проверяет некоторые свойства кода переданного на вход виртуальной машины, например, типы операндов и что самое важное максимальную глубину стэка;
³ — Тут важно заметить, что верификатор выбрасывает исключение, если обнаруживает незнакомую инструкцию, а интерпретатор просто пропускает их.
⁴ — вспоминается GNUшный alloca ^^'

Tags: programming

(Leave a comment)

silly_sad @ 2008-04-17 02:31 pm (UTC)

неудивлён.

у меня по этой причине никогда не стояло ни одного флэш плэера. с самого момента его основания, когда даже мальчики истерили о "новой супер-технологии".

А объясняю я свою политику так:

Если вы хотите донести до меня некий message напишите мне письмо, нарисуйте картину или снимите фильм. Но приходить ко мне в дом и устраивать там перфоманс не позволю.

localstorm @ 2008-04-17 03:39 pm (UTC)

Слишком хитро. Более чем уверен, что найдутся уязвимости и попроще. Взять хотя бы самые популярные браузеры. Кстати, Flash -- не использую, ибо он регулярно заваливается сам, вместе с браузером.

В идеале, SELinux решает проблему