Десятка самых-самых

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #045, стр. 045-040-3

Эта функция служила лишь началом всех бед. После do_brk() появились mremap() и munmap(), которые базируются на общем mmap()-вызове. В конце концов, баг запатчили, но далеко не все админы применяют выпущенные багфиксы.

5. mIRC buffer overflow

С ядрами систем разобрались. Пришло время ознакомиться с багами в популярном софте. Самым безопасным IRC-клиентом всегда считался mIRC. В нем практически никогда не находили серьезных ошибок. 11 октября 2003 года любопытные хакеры обнаружили переполнение буфера в процедуре DCC-передачи. Дело в том, что имя файла не контролируется на размер – типичный недочет, ведущий к переполнению буфера. В итоге, если хакер подставит в качестве имени большую последовательность вида «x x x x x...», заканчивающуюся символом с ASCII-кодом 1, клиент сразу же отбросит копыта. В свежих релизах баг якобы пофиксили, но окончательный фикс объявили только с выходом последней версией клиента (6.14).

6. Half-Life buffer overflow

Следующим хитовым багом является брешь в протоколе обмена Half-Life. Как ты знаешь, в провайдерских сетях часто встречаются такие сервера. Переполнению подвержены как клиенты, так и машины на базе FreeBSD. Если прикинуться своим HL-серваком, старательно разрекламировать его в ламерских чатах, а затем запустить специальный эксплоит, у клиента Халфа сорвет крышу :). С помощью кривых пакетов сервер переполняет буфер у машины ламера и запускает командный shell.

Если использовать эксплоит для FreeBSD HL-сервера, то мы получим рутовый /bin/sh. Сплоит скомпрометирует сервер к переполнению, пуляясь в него кривыми UDP-пакетами. Этакий забавный серверный Half-Life ;).

7. Buffer overflows in Internet Explorer

Наконец мы добрались до нашего любимого ослика ;). В нем тоже были найдены грешки программистов Microsoft. В осле обнаружили не одну, а даже несколько смертельных багов.

Первой уязвимостью является переполнение, ведущее к перезаписи специальных регистров и последующей порче виндового реестра. Как ты знаешь, в IE применима конструкция вида file://c:\filename. При этом никто не мешает подставить вместо c: шестнадцатеричное значение (например, xff). Это нововведение приведет к интересной ситуации: перезапишутся три регистра ECX EDX и EDI. Когда это случится, системные записи в реестре полетят к чертовой матери :). После этого IE наотрез откажется отображать любую запрошенную страницу (отмаз будет выглядеть следующим образом: «You cant access this file, path, drive. Permission Denied»). Только переустановка IE избавит юзера от такого назойливого окна.