雅虎通ywcvwr.dll远程堆溢出漏洞

BUGTRAQ ID: 25330 雅虎通是一款非常流行的即时通讯工具。 雅虎通在处理畸形功能请求时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。 雅虎通中有个名为webcam的功能。当webcam请求初始化的时候雅虎通会生成一个类（webcamclass），webcamclass会在这个地方（ywcvwr.dll）申请一段内存，这段内存的长度是0x400： .text:10001737 cmp edi, [esp+0Ch+arg_0] .text:1000173B jl short loc_10001735 .text:1000173D cmp edi, 1400000h .text:10001743 jg short loc_10001752 .text:10001745 push edi .text:10001746 call j_??2@YAPAXI@Z ; operator new(uint) .text:1000174B mov ebx, eax .text:1000174D test ebx, ebx 这段内存的用处是存放从jpc解压出来的bitmap的内容，但使用用户数据包内提供的数据来作为边界判断条件： .text:10002C5C mov [eax+2], cl ; eax是前面这个长度为0x400的buffer ………………………. .text:10002CA9 mov [eax], cl .text:10002CAB mov ecx, [ebp+var_4] .text:10002CAE add eax, [edi+5Ch] .text:10002CB1 inc esi .text:10002CB2 inc esi .text:10002CB3 cmp ecx, [edi+64h] ；bug is here .text:10002CB6 jl short loc_10002C38 [edi+64h]的内容是用户提供的pic length，只要合理的构造这个值及其它相关的值，就可以成功地实现堆溢出。 Yahoo! Messenger 8.1.0.413 临时解决方法： * 限制对5100/tcp端口的访问 * 不要接受任何视频聊天请求 厂商补丁： Yahoo! ------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href="http://messenger.yahoo.com/" target="_blank">http://messenger.yahoo.com/</a>