漏洞信息
Internet Explorer 在打开攻击页面时，CMshtmlEd 对象被删除并释放，且释放后的内存被重用，导致 Use-After-Free.
受影响系统：
Microsoft Internet Explorer 9.x
Microsoft Internet Explorer 8.x 
Microsoft Internet Explorer 7.x
发布时间：
2012-09-17 
漏洞来源信息：
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
漏洞类型：
Use-After-Free

crash info

使用 IE 打开 exploit.htm,  发生异常,  堆栈情况如下

漏洞分析
异常产生在 CMshtmlEd::Exec(),    原因是由于 objMshtmlEd 被覆盖,  导致虚函数寻址调用时被控制

查看 POC 中代码,  document.execCommand(“SelectAll”)  执行时会调用 CBase::execCommand()函数,  第一个参数为要执行命令的字符串,  函数中会检查要执行的命令是否有效.
在 mshtml!CEditRouter::ExecEditCommand.函数中会调用 CEditRouter::SetInternalEditHandler来设置命令事件 handler,  并创建一个 MshtmlEd 对象

mshtml!CEditRouter::SetInternalEditHandler 函数内部调用 mshtml!CDoc::GetHTMLEditor  获取页面中的 Editor,  通过 mshtml!CHTMLEditor::AddCommandTarget 来创建并初始化一个命令事件.

int __stdcall CHTMLEditor::AddCommandTarget ( )
{
CMshtmlEd *pEd = new CMshtmlEd();
if ( (NULL != pEd) && pEd->Initialize() )
{
return CImplPtrAry::Append(pEd);
}
return 0x8007000E;
}

接着会执行事件 Handler

在 POC 中  设置的 selectAll 的响应函数为  TestArray(),  且 exeCommand 执行的命令为selectAll

因此此处获取 CSelectAllCommand 对象,  并调用 exec 函数调用

TestArray()函数中的 document.write(“xxx”)  会将 document 中 vecObjMgr 删除,  因此之前申请的 CMshtmlEd  对象也会被删除.

当执行完 selectAll 命令时, objMshtmlEd 的地址已被释放,  继续寻址导致程序异常.  且在TestArray() 中 parent.xxx.src = “ AAAA\u0c08\u0c0cAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA” ,  刚好可以把 Free 掉的 MshtmlEd 对象地址占用,  以控制 EIP 执行任意代码.

漏洞利用

1、  利用 msvcrt 中的 ROP Chain 绕过 DEP
2、  利用 JRE 中未开启 ASLR 的模块绕过 DEP.
3、  利用 JIT Spray 喷射 

[感谢h4ckmp投递]