发布日期：2010-04-22
更新日期：2010-08-10

受影响系统：

Microsoft Windows XP SP3
Microsoft Windows Server 2003 SP2

描述：

---

BUGTRAQ  ID: 39630
CVE ID: CVE-2010-1735,CVE-2010-1894

Microsoft Windows是微软发布的非常流行的操作系统。

Microsoft Windows操作系统所使用的Win32k.sys驱动在DispatchMessage时，会最后调用到xxxDefWindowProc。该函数在处理某些消息时会调用gapfnScSendMessage函数表中的函数来处理，其中2000/XP/2003下在处理0x4c号消息时，会有一个名为SfnLOGONNOTIFY的函数。当wParam == 4/13/12时该函数直接从lParam里取出数据。尽管函数内使用了SEH，但是只要传递错误的内核地址，仍然会引发系统崩溃或执行任意代码。

伪代码：

if ( wParam == 4 || wParam == 13 || wParam == 12 )
{
    v18 = *(_DWORD *)lParam;
    v19 = *(_DWORD *)(lParam + 4);
    v20 = *(_DWORD *)(lParam + 8);
    v21 = *(_DWORD *)(lParam + 12);

<*来源：MJ0011 （dlrow1991@ymail.com）
  
  链接：http://marc.info/?l=bugtraq&m=127195185502541&w=2
        http://secunia.com/advisories/39456/
        http://www.microsoft.com/technet/security/bulletin/MS10-048.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA10-222A.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.exploit-db.com/download/12336

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS10-048）以及相应补丁:
MS10-048：Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2160329)
链接：http://www.microsoft.com/technet/security/bulletin/MS10-048.mspx?pf=true

浏览次数：3063
严重程度：0（网友投票）