MS04-028
BOF Proof Of Conceptが出てます。ということでBugtraqに投稿されていたヤツを展開してフォルダが開かれただけでExplorer死にました(>_<)
- JPEG Processing BOF Proof Of Concept(bugtraq)
- http://www.gulftech.org/?node=downloads
- Microsoft GDIPlus.DLL JPEG Parsing Engine Buffer Overflow(bugtraq)
リンクURLを微妙に修正。
追記:
追記2:
BZとかで除いて見た感じでは
通常のJpeg
000000 FF D8 FF E0 00 10 4A 46-49 46 00 01 01 01 00 48 ......JFIF.....H :
となっているところがpoc.jpgでは
000000 FF D8 FF FE 10 06 78 78-78 78 78 78 78 78 78 78 ......xxxxxxxxxx 000010 78 78 78 78 78 78 78 78-78 78 78 78 78 78 78 78 xxxxxxxxxxxxxxxx : : 001000 78 78 78 78 78 78 78 78-78 78 FF FE 00 01 FF FE xxxxxxxxxx...... 001010 10 02 20 20 00 00 00 00-A8 54 2A 40 F8 EF FF BF .. .....T*@..... 001020 00 00 00 00 00 00 00 00-A8 54 2A 40 F8 EF FF BF .........T*@..... : : 002010 00 00 FF E0 00 10 4A 46-49 46 00 01 01 01 00 60 ......JEIF.......
と余計なものが入っている感じですね。
Bugtraqの投稿でも「0xFF 0xFE 0x00 0x00 or 0xFF 0xFE 0x00 0x01」あたりを監視すれば検知できるかも?って感じですけど。xxxの切れ目?