Windows中一个22年的漏洞

 X Windows系统，今天做为世界各地的Linux桌面，已经存在超过20年了，仍然存在Bug。几天前Sysadmins为libXfont库提供了补丁，来对应新发现的已经在代码中存在了22年的特权升级漏洞，补丁抢在了让人厌烦的exploit前发布了。这一漏洞可使得登入到一个存在漏洞的机器的人将X服务搞崩溃，或者执行输入代码后成为超级用户。

    在混沌通讯大会（译注：始于1984年，由欧洲最大的黑客联盟组织——德国混沌电脑俱乐部主办。该会议主要研讨计算机和网络安全问题，旨在推动计算机和网络安全。开始可能是热爱计算机的黑客参与，其后不断吸引科学家、安全专家和计算机爱好者参加，所以也有人称之为欧州黑客大会。）的一个展现上，发现了数百个漏洞（在X.org上讨论的电子邮件在此：http://lists.x.org/archives/xorg-devel/2013-December/039773.html），最新发现的漏洞是文本的栈溢出漏洞，能够追溯到1991年，这个Bug至今仍存在于全部的X11版本中。

    这一漏洞很简单，而且影响共享的电脑，可是本文只想剖析这一系列的安全问题是如何发生的。

    来自X.org的公告内容：“一个BDF字体文件包含了一个超过时望长度的字符串，会致使站溢出。在建立了栈保护的X服务上进行测试，当读取用户提供的巧妙设计的字体时，会致使服务当即崩溃。” （译注：http://lists.x.org/archives/xorg-announce/2014-January/002389.html）

    存在问题的地方是以下代码中的bdfReadCharacters()函数中（译注：源代码路径http://cgit.freedesktop.org/xorg/lib/libXfont/tree/src/bitmap/bdfread.c）

 

    若是你没有见过这个bug，我会详细解释。屏幕上的字体能够保存成GBD格式（Glyph Bitmap Distribution），详情参见此文档（http://partners.adobe.com/public/developer/en/font/5005.BDF_Spec.pdf），保存后的内容格式是以STARTCHAR 2.1+字体内容的格式。（译注：请参照上图中1305行的代码）

    若是被加载的字体包含一个短的版本号，做为字符串加载的话一切正常，例如本文中的版本号“2.1”。这一信息在代码中经过文件dbfread.c中的函数调用函数sscanf将信息拷贝到charName字符数组当中。（译注：参照上述图中的1302-1308行代码）。问题是sscanf函数没有限定读取版本号码的字符串长度，该函数会一致拷贝文件中的数据，直到遇到了一个空格符，才终止。（译注：http://www.cplusplus.com/reference/cstdio/sscanf/

http://www.cplusplus.com/reference/cctype/isspace/）

    字符数组charName被定义为长度只有100个字节，所以当一个BDF字体包含一个“STARTCHAR”开始的字符串而且其版本号的长度超过字符数组长度将会致使超过数组范围，将数据放在栈中的其余数据区上。这意味着攻击者能够覆盖内存从而控制处理器的命令指针离开bdfReadCharacters函数，从而有效的劫持程序。

    由于X服务一般是以超级用户权限运行的，若是攻击成功，普通用户权限的用户能够经过执行代码来获得机器的控制权。关于在现今系统中存在保护机制状况下，如何触发栈溢出的更深层次的文章能够参考以下两篇文章

http://www.exploit-db.com/papers/24085/

http://crypto.stanford.edu/~blynn/rop/

    修补漏洞很简单，以下图所示，明确指定数据长度为99个字节，第100个字节用来保存NULL。

 

来自X.org的声明：

在由X.org 发布的全部的X服务中，libXfont被用来读取用户指定的字体文件，包含Xorg服务，它一般是以root权限来运行的，或者是以setuid-root的权限来运行以方便访问硬件，这一漏洞可能致使在某些系统中，一个普通用户拿到root权限。

    在12月份的混沌通讯大会上，Ilja van Sprundel 说他要在两个月内，挖到120个漏洞。Van Sprundel说：“如今我尚未挖到那么多”，Van Sprunde在2013年5月份致使了X.org的大量安全更新，包含数十个须要修正的漏洞，由于客户端程序库相信服务器发送的数据时有效的，没有进行完整性测试。（译注：http://lists.x.org/archives/xorg-devel/2013-May/036276.html）最新的漏洞是经过cppcheck静态分析工具发现的，命名为CVE-2013-6462，安全更新应该在全部的包管理中有效。（译注：有关cppcheck，请参照http://cppcheck.sourceforge.net/）