您的位置：首页 → 落伍资讯 → 安全资讯 → 播报：雅虎通ywcvwr.dll远程堆溢出漏洞

播报：雅虎通ywcvwr.dll远程堆溢出漏洞

日期：2007-8-25 17:28:19 人气： 出处：落伍论坛 作者：拒绝游泳的鱼 [大中小]

发布日期：2007-08-15

更新日期：2007-08-21

受影响系统：

Yahoo! Messenger 8.1.0.413

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25330

雅虎通是一款非常流行的即时通讯工具。

雅虎通在处理畸形功能请求时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

雅虎通中有个名为webcam的功能。当webcam请求初始化的时候雅虎通会生成一个类（webcamclass），webcamclass会在这个地方（ywcvwr.dll）申请一段内存，这段内存的长度是0x400：

.text:10001737                 cmp     edi, [esp+0Ch+arg_0].text:1000173B                 jl      short loc_10001735.text:1000173D                 cmp     edi, 1400000h.text:10001743                 jg      short loc_10001752.text:10001745                 push    edi.text:10001746                 call    j_??2@YAPAXI@Z  ; operator new(uint).text:1000174B                 mov     ebx, eax.text:1000174D                 test    ebx, ebx

这段内存的用处是存放从jpc解压出来的bitmap的内容，但使用用户数据包内提供的数据来作为边界判断条件：

.text:10002C5C                 mov     [eax+2], cl  ; eax是前面这个长度为0x400的buffer………………………..text:10002CA9                 mov     [eax], cl.text:10002CAB                 mov     ecx, [ebp+var_4].text:10002CAE                 add     eax, [edi+5Ch].text:10002CB1                 inc     esi.text:10002CB2                 inc     esi.text:10002CB3                 cmp     ecx, [edi+64h] ；bug is here.text:10002CB6                 jl      short loc_10002C38

[edi+64h]的内容是用户提供的pic length，只要合理的构造这个值及其它相关的值，就可以成功地实现堆溢出。

<*来源：team509

链接：https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=64639&page=1#entry321749

http://secunia.com/advisories/26501/

http://www.kb.cert.org/vuls/id/515968

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 限制对5100/tcp端口的访问

* 不要接受任何视频聊天请求

厂商补丁：

Yahoo!

------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://messenger.yahoo.com/(责任编辑：李磊)

上一篇：EMC远程备份恢复系统服务远程栈溢出漏洞

下一篇：Vista企业版或Vista最终版中安装IIS 7.0

热点文章