鬼仔's Blog

—————————————————————————————–
Operating System: XP SP2
Gdiplus.dll Version: 5.1.3102.2180

Credit:

John Smith,
Evil Fingers

GIF Template Reference: http://www.sweetscape.com/010editor/templates/files/GIFTemplate.bt

PoC Link: http://www.evilfingers.com/patchTuesday/MS08_052_GDI+_Vulnerability_ver2.txt

http://www.evilfingers.com/patchTuesday/PoC.php
========================================================================
阅读全文 »

<html>
<head>
<STYLE>
ef\:* { behavior: url(#default#VML); }
</STYLE>
</head>

<body>

<pre>
================================================
MS08-052: GDI+ Vulnerability
————————————————
Operating System: XP SP2
Internet Explorer Version: 6.0.2900.2180
Gdiplus.dll Version: 5.1.3102.2180
阅读全文 »

——by CuteK

一 背景知识

由文件格式入手,来分析MS08-052漏洞, 并构造了一个可以使没有补丁的程序崩溃的图片,

1 WMF文件结构

————————–|
| 文件头 |
|————————-|
| 文件记录 |
|————————-|
|————————-|
| 文件记录 |
|————————-|
|————————-|
| 文件记录 |
|————————-|
阅读全文 »

update：是MS04-028，alert7大牛和Greysign大牛鉴定过了。不知道谁拿个MS04-028在群里发着玩，很多同学的杀软都报了。MS08-052好像不影响JPG，只影响VML、EMF、GIF、WMF、BMP。

今天下午卡巴突然弹出来提示框（当时没截图，从报告中找出来的）：

文件 X:\Program Files\Tencent\QQ\*****（我QQ）\image\{BA67DC3C-9090-445D-892B-8504175DBF8F}.JPG：检测到：木马程序 ‘Exploit.Win32.MS04-028.a’.

报的是MS04-028，也不知道到底是MS04-028还是MS08-052。

然后又从隔离区把这张图片给恢复出来，看看内容：

ps：刚看到职业欠钱那里也遇到了这个东西，跟我这里一模一样。

作者：axis

今天是MS的Patch Tuesday，比较吸引眼球的就是MS08-052，MS08-055等

TK教主老师首先在blog上分析了08-052的危险性，看上去确实很有潜力啊！

MS08-052

不过之后看到SWI写一篇关于08-052的blog里，提到MS08-052的patch有对winsxs文件夹做策略控制，让应用程序只会去加载更新过的gdiplus.dll。

winsxs是MS用来做dll的版本控制的一个东西
阅读全文 »

作者：tombkeeper

这个补丁日只出了一篇Windows本身的公告，MS08-052。不过这里面含了一堆让某些人激动不已眼睛里直冒￥符号的漏洞：

GDI+ VML 缓冲区溢出漏洞 – CVE-2007-5348
GDI+ EMF 内存损坏漏洞 – CVE-2008-3012
GDI+ GIF 分析漏洞 – CVE-2008-3013
GDI+ WMF 缓冲区溢出漏洞 – CVE-2008-3014
GDI+ BMP 整数溢出漏洞 – CVE-2008-3015

所以，高公告，水果味儿，一篇顶过去五篇。
阅读全文 »