home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / Exploit and vulnerability / w00w00 / advisories / ms_macos.txt < prev    next >
Encoding:
Text File  |  2002-04-17  |  3.8 KB  |  108 lines
  1. w00w00 (http://www.w00w00.org)
  2. Angry Packet Security (http://sec.angrypacket.com)
  3.  
  4. Vulnerability in Multiple Microsoft Products for Mac OS
  5. HTML format: http://www.w00w00.org/advisories/ms_macos.html
  6. Text format: http://www.w00w00.org/files/advisories/ms_macos.txt
  7.  
  8. SOFTWARE VERSIONS AFFECTED
  9.  
  10. Microsft Internet Explorer
  11. Versions affected: 5.1
  12. Platforms affected: Mac OS 8, 9, and X
  13.  
  14. Microsft Outlook Express
  15. Versions affected: 5.0.2
  16. Platforms affected: all Mac OS
  17.  
  18. Microsft Entourage
  19. Versions affected: 2001 and X
  20. Platforms affected: all Mac OS
  21.  
  22. Microsft PowerPoint
  23. Versions affected: 98, 2001, and X
  24. Platforms affected: all Mac OS
  25.  
  26. Microsft Excel
  27. Versions affected: 2001 and X
  28. Platforms affected: all Mac OS
  29.  
  30. Microsft Word
  31. Versions affected: 2001
  32. Platforms affected: all Mac OS
  33.  
  34. PRELUDE
  35.  
  36. A bug in Internet Explorer for Mac OS X was originally reported to
  37. Microsoft by Josha Bronson of Angry Packet Security on January 4,
  38. 2002. 
  39.  
  40. Due to some internal mishandling at Microsoft, this was brushed off
  41. until w00w00 informed Microsoft of its intention to release the
  42. information on February 17. We originally gave them a deadline of
  43. two weeks until we discovered that this affected Entourage (an 
  44. Outlook-like mail client for Mac OS). When Microsoft determined 
  45. this affected most of their Office suite on Mac OS, we felt it was
  46. appropriate to give them time to fix it.
  47.  
  48. DESCRIPTION
  49.  
  50. There is a vulnerability in multiple Microsoft products on Mac OS.
  51. The problem lies in the handling of a lengthy subdirectory in the
  52. file:// directive, such as file:///AAAAAA[...] or 
  53. file://A/A/A/A/[...]. The number of subdirectories is trivial as 
  54. long as there is at least one.
  55.  
  56. IMPLICATIONS
  57.  
  58. In most cases, the user would need to click on the link to be
  59. attacked. In the case of Entourage or Outlook Express, however, 
  60. just opening the email will cause this. This leaves the 
  61. potential for a worm. The magnitude depends on how many people 
  62. actually use Entourage and Outlook Express for Mac OS. In all
  63. cases, writing shellcode to exploit this problem is simple. 
  64. Given that Mac OS X has a Unix interface, existing PowerPC 
  65. shellcode that runs /bin/sh will work. No complex shellcode 
  66. is needed to bind to a port or download an application off the 
  67. web. The /bin/sh shellcode would need to be changed from an 
  68. interactive shell to one that will execute a chain of commands. 
  69. There are enough commands on Mac OS X by default to allow an 
  70. attacker to download and execute an application off of a web 
  71. page.  The downloaded application could do any number of 
  72. things, such as read off the user's contact list and send the 
  73. same email to exploit to all of the user's contacts.
  74.  
  75. EXPLOIT
  76.  
  77. The following HTML file will demonstrate the problem. We chose to
  78. use IMG simply because that is instantly loaded, but an
  79. <A HREF=...> could have been used also. It can also be viewed (in
  80. live form) at http://www.w00w00.org/files/advisories/ie_sample.html.
  81. It overwrites the saved link register which is used for a
  82. subroutine's return address on PowerPC. This will allow remote
  83. execution of arbitrary code. The saved link register is overwritten
  84. by the 0x41424344. This vulnerability will allow up to 1313
  85. characters before the saved link register. Pure binary data
  86. (including NUL bytes) can be used by escaping it (i.e., A as %41).
  87. However, using "%41" will count as three characters, rather than
  88. just one. Note: by character I mean unibyte characters.
  89.  
  90. <html>
  91. <body>
  92. <img src=file:///[1313 characters]%41%42%43%44>
  93. </body>
  94. </html>
  95.  
  96. PATCHES
  97.  
  98. For Internet Explorer, a patch is available from 
  99. http://www.apple.com/macosx/upgrade/softwareupdates.html. For
  100. the other products, the patches can be downloaded from
  101. http://www.microsoft.com/mac/download.
  102.  
  103. CREDIT
  104.  
  105. w00w00 would like to thank Angry Packet for involving us in their
  106. efforts to get Microsoft to resolve this problem after their 
  107. attempts failed.
  108.