7erry's Website

法国安全团队 Vupen 在 Pwn2Own 2012 利用两个 0day 漏洞攻下了 Windows 7 中的 IE9。这两个 0day 漏洞分别为 IE 沙盒 Bypass 漏洞和 IE 堆溢出漏洞，其中后者根据大赛规定被提交给了微软,并随着 MS12-037 公告的发布而被修复。它的成因为 mshtml.dll 中的 CTableLayout::CalculateMinMax 函数在以 col 标签的 span 属性值为循环次数向堆内存中写入数据时,未对 span 进行有效的校验，若 span 值设置不当就会导致堆溢出进而 RCE。

mshtml.dll 是 IE 中的重要组件，负责解析页面中的 HTML 和 CSS。不少知名漏洞都与它有关，关于 IE 主要组件的更多细节可参阅 Internet Explorer Architecture

影响范围：

IE 版本
Microsoft Internet Explorer 6 ~ 9

操作系统
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows 7

2012 年 10 月 15 日 exploit-db 漏洞公布站点上发布了 QQPlayer 3.7.892 m2p quartz.dll Heap Pointer Overwrite PoC，后被人提交至乌云和 CNCERT。但经过腾讯安全应急响应团队（《漏洞战争》笔者）的分析，确认该漏洞与 QQ 影音无关，而是微软 DirectShow quartz.dll 在解析 M2P 文件时存在堆溢出漏洞，随后腾讯安全团队及时报与微软应急响应中心（MSRC），微软回复确认漏洞存在并于 2013 年 2 月 12 日发布补丁修复

有一说一，这个漏洞我查了一圈也没太多提及的资料而且也就主要影响 Windows XP，《漏洞战争》作者把这个洞列为堆溢出漏洞经典漏洞疑似夹带私货

影响范围：

Microsoft Windows XP SP2
Microsoft Windows XP SP3
Windows Server 2003 SP2
Windows Vista SP2

微软的多媒体库 winmm.dll 中的 midiOutPlayNextPolyEvent 函数在处理 MIDI 文件时对其 Note On 和 Note Off 字段没有做限制,导致可以操纵该字段访问堆块之外的 1 个字节的内存空间,攻击者可利用该堆溢出漏洞在网页中嵌入恶意构造的 MIDI 文件实现 RCE。

影响范围:

Microsoft Windows 7, Windows 7 SP1
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2008 SP2, Windows Server 2008 R2
Microsoft Windows Vista SP2
Microsoft Windows Xp SP2, Windows Xp SP3

Microsoft Windows Cinepak 编解码器对媒体文件解压缩时存在代码控制不当,其中(iccvid.dll)的 CVDCompress 函数在解压缩媒体文件时未对 Cinepak(CVID) Stream Format 中的 Number of coded strips(Frame Header) 大小充分检测与限制,导致在复制压缩数据时造成堆溢出,进而导致程序崩溃或任意代码执行(maybe)

影响范围：
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows Vista Service Pack 1 and Microsoft Windows Vista Service Pack 2
Microsoft Windows Vista x64 Edition Service Pack 1 and Microsoft Windows Vista x64 Edition Service Pack 2
Microsoft Windows 7 for 32-bit Systems
Microsoft Windows 7 for x64-based Systems

CVE-2012-0158 在 CVE-2017-0199 出现前的 5 年时间中总会在各大安全公司的通用漏洞榜单中名列前茅。首次被披露于 2015 年 6 月报道出的名为 “Lotus Blossom 行动” 的攻击事件。其成因是 Microsoft Windows 通用控件中的 MSCOMCTL.TreeView、MSCOMCTL.TreeView2、MSCOMCTL.ListView2、MSCOMCTL.ListView 控件（MSCOMCTL.OCX）中存在栈溢出漏洞，导致可被用于执行任意代码

影响范围：
Microsoft Office 2003 SP3版本、2007 SP2版本和SP3版本、 2010 Gold版本和SP1版本， Office 2003 Web Components SP3版本，SQL Server 2000 SP4版本、2005 SP4版本和2008 SP2版本、SP3版本和R2版本， BizTalk Server 2002 SP1版本，Commerce Server 2002 SP4版本、2007 SP2版本、2009 Gold版本和R2版本，Visual FoxPro 8.0 SP1版本和9.0 SP2版本和Visual Basic 6.0 Runtime版本

影响的操作系统：
Windows 2000, Windows Server 2003, Windows XP (32-bit), Windows Vista (32-bit), Windows 7 (32-bit)

CVE-2011-0104 是 Microsoft Excel 在解析 XLB 文件中的 TOOLBARDEF Record ————CVE 公告上写的是 Hlink Record，但事实上是 TOOLBARDEF Record————时未对 Len 和 Cbtn 字段与 Continue Record 的 Len 字段做过滤导致导致栈溢出漏洞，这允许攻击者能够借此实现任意地址写任意数据。通过让受害者打开恶意的 XLB 文件，攻击者能够完全控制受害者主机。到目前为止 CVE-2011-0104 漏洞还未收录在 MSF 中

影响范围：
Microsoft Office XP SP3, Office 2003 SP3, Office 2007 SP2, Office 2010, Office 2004 and 2008 for Mac, Office for Mac 2011