home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 4 / hacker04 / 04_HACK04.ISO / xploits / flash / flash_overflow.txt
Encoding:
Text File  |  2002-05-06  |  5.3 KB  |  137 lines
  1. Macromedia Flash Activex Buffer overflow
  2.  
  3. Release Date:
  4. 05/02/2002
  5.  
  6. Severity:
  7. High (Remote code execution)
  8.  
  9. Systems Affected:
  10. Flash Activex Ocx Version 6, revision 23
  11. (Possibly older versions)
  12.  
  13. Forward:
  14. This is an unusual advisory in a number of ways.
  15.  
  16. One, it was found while investigating an access error encountered during
  17. normal web surfing, which was suspicious. Within a few hours we had
  18. confirmed on multiple Operating Systems that this was an exploitable
  19. condition that overwrote EIP.
  20.  
  21. Two, while we tested on these systems with the latest install from the
  22. vendor's site, when we contacted the vendor they informed us that they had
  23. just released a new build this same day which already fixed the problem.
  24. They asked us to confirm this. We tried the link they gave us and it did
  25. indeed fix the problem and was a new build. Testing the link later that
  26. night confirmed the link we used to install the ocx now had the fixed,
  27. latest version.
  28.  
  29. In this, we congratulate Macromedia for: finding the bug, fixing it, and
  30. releasing the build in a timely fashion. This truly shows that they are
  31. dedicated to security just as they have stated they are.
  32.  
  33. However, because there is a signed flash ocx out there which has been
  34. downloaded by an untold number of people, and potentially could still be
  35. used in an exploit scenario against those without the latest ocx we felt the
  36. need to release this advisory.
  37.  
  38. Furthermore, this issue was found in the wild, and it is not safe to assume
  39. it could not be found by others with malicious intent. Nor do we believe it
  40. is safe to assume this has not been found by users with malicious intent.
  41.  
  42. There are further issues with old activex objects which have such
  43. vulnerabilities which will be discussed in the description section.
  44.  
  45. Description:
  46.  
  47. A vulnerability in the parameter handling to the Flash OCX, which could lead
  48. to the execution of attacker supplied code via email, web or any other
  49. avenue in which Internet Explorer is used to display html that an attacker
  50. can supply. This includes software which uses the web browser activex.
  51.  
  52. All users of Internet Explorer are potentially affected because this is a
  53. Macromedia signed ocx. We advise them to upgrade their flash version
  54. immediately to version 6, revision 29.
  55.  
  56. Example:
  57.  
  58. <OBJECT classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000">
  59. <PARAM NAME=movie
  60. VALUE="http://www.notthere8979873.com/notthere.swf?AAA[...unstated, but
  61. fixed number]XXXXXXXX">
  62. </OBJECT>
  63.  
  64. Where X overwrites the EIP consistently across Windows platforms.
  65.  
  66. Technical Description:
  67.  
  68. Flash.ocx is an activex object installed with Internet Explorer, and is used
  69. to display flash objects on the web.
  70.  
  71. Proper bounds checking is not in place in the "movie" parameter which
  72. overwrites EIP at an unsaid, but fixed number of bytes across Windows
  73. platforms.
  74.  
  75. Because the ocx is signed by Macromedia: there is a chance the older activex
  76. could be used against people without flash; people whom have an older
  77. version of flash not affected may be forced to "upgrade" to the affected
  78. version; and, of course, those with the affected versions need to upgrade
  79. lest the exploit works out of the box on them.
  80.  
  81. There has been considerable debate about legacy activex objects which have
  82. exploits within them. In general, if someone uses the codebase parameter to
  83. point to an affected version of the activex, the system will first try and
  84. grab the activex from Microsoft's activex store on the web. Then, it will
  85. try the activex specified in the codebase tag by the malicious user.
  86.  
  87. We do not believe this method is full proof.
  88.  
  89. We do not believe the method is full proof because of the potential of the
  90. activex storehouse check failing and because of the potentiality for the
  91. activex to be called by other methods. (At least a few potential other
  92. methods are in the RFC for applets and objects).
  93.  
  94. However, the other option of setting the "kill bit" for the affected activex
  95. and reassigning the fixed activex version with a new classid is only a
  96. suggestion we will make in this case. We do not believe it is necessarily
  97. mandatory.
  98.  
  99. Risk should be mitigated to a satisfactory level by users upgrading to the
  100. new ocx.
  101.  
  102. Vendor Status:
  103. Visit Macromedia's site to get the latest Flash ocx to eliminate these
  104. issues.
  105. http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=Shock
  106. waveFlash
  107.  
  108. Credit: Drew Copley
  109.  
  110. Greetings: Fat code: presented by Yahoo and Weight Watchers. KROQ, and corn
  111. dog manufacturers world wide.
  112.  
  113. Copyright (c) 1998-2002 eEye Digital Security
  114. Permission is hereby granted for the redistribution of this alert
  115. electronically. It is not to be edited in any way without express consent of
  116. eEye. If you wish to reprint the whole or any part of this alert in any
  117. other medium excluding electronic medium, please e-mail alert@eEye.com for
  118. permission.
  119.  
  120. Disclaimer
  121. The information within this paper may change without notice. Use of this
  122. information constitutes acceptance for use in an AS IS condition. There are
  123. NO warranties with regard to this information. In no event shall the author
  124. be liable for any damages whatsoever arising out of or in connection with
  125. the use or spread of this information. Any use of this information is at the
  126. user's own risk.
  127.  
  128. Feedback
  129. Please send suggestions, updates, and comments to:
  130.  
  131. eEye Digital Security
  132. http://www.eEye.com
  133. info@eEye.com
  134.  
  135.  
  136.  
  137.