Works WkImgSrv.dll ActiveX控件執行漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】Microsoft Works是微軟在早期所發佈的文件處理程序。Microsoft Works所帶的ActiveX控件實現上存在漏洞，遠程攻擊者可能利用此漏洞控制用戶系統。

發佈日期：2008-04-17

更新日期：2008-05-05

受影響系統：

Microsoft Works 7

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 28820

Microsoft Works是微軟在早期所發佈的文件處理程序。

Microsoft Works所帶的ActiveX控件實現上存在漏洞，遠程攻擊者可能利用此漏洞控制用戶系統。

Microsoft Works所提供的wkimgsrv.dll庫沒有安全地調用WKsPictureInterface方式：

00D473BD PUSH EBP ;

Begin of Set WksPictureInterface method

00D473BE MOV EBP,ESP

00D473C0 SUB ESP,1C

00D473C3 MOV EAX,DWORD PTR SS:[EBP+C] ; Move paramater to EAX

00D473C6 PUSH ESI

00D473C7 TEST EAX,EAX ; Checking whether

EAX is NULL

00D473C9 JNZ SHORT wkimgsrv.00D473D5 ; OK,if it is not null continue

00D473CB MOV EAX,80004005 ;

00D473D0 JMP wkimgsrv.00D47456 ;No,it's is NULL,exit method

00D473D5 ==> MOV ESI,DWORD PTR SS:[EBP+8] ; Do some other stuffs, we don't care

00D473D8 LEA EDX,DWORD PTR SS:[EBP-1C] ;

00D473DB PUSH EDX

00D473DC PUSH EAX

00D473DD MOV DWORD PTR DS:[ESI+2A0],EAX ; =============

00D473E3 ==> MOV ECX,DWORD PTR DS:[EAX] ; Here is the

problem,the data stored by EAX is referenced and moved into ECX

00D473E5 CALL DWORD PTR DS:[ECX+30] ;Next the address

in some struct pointed by ECX is called

如果能夠在記憶體中創建第一個DWORD指向其本身且0x30偏移處的DWORD指向shellcode的結構，則當用戶在訪問惡意網頁時就可能觸發無效的記憶體訪問，導致拒絕服務或執行任意指令。

<*來源：Shennan Wang （[email protected]）

鏈接：http://marc.info/?l=bugtraq&m=120845200813992&w=2

http://www.milw0rm.com/exploits/5530

*>

建議：

----------------------------------------------------------------------------

廠商補丁：

Microsoft

---------

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本：

http://www.microsoft.com/technet/security/

(