深度安全：技术专家详解PDF漏洞

Adobe 最新PDF漏洞的恶意代码和详细的技术分析已经在互联网上被公开，并被广泛转载。我们邀请资深安全技术分析员李石磊对该漏洞进行了详尽的分析。

漏洞测试代码

在Adobe Reader 8和9版本的核心AcroRd32.dll模块中，处理JBIG2Decode的图形嵌入对象，在计算复制地址时会出现溢出问题，导致程序崩溃。

http://www.milw0rm.com/exploits/8099

Adobe PDF检测流程

生成具有破坏格式的PDF演示文件如下(此演示文件只演示了造成漏洞的代码，没有攻击性)

其中，stream字段中的第5字节的第6位，在JBIG2的解析过程中用来说明是“大页”(a large page) ，其大小在后续四个字节给出，如图 41 42 43 44。

崩溃处代码

此段代码为Adobe Reader解析JBIG2的代码，其中先读取图像大小，然后进行解压缩操作，将解压后的二进制文件写入相应的内存地址。

由于计算地址时未检验 ，从调试中可以看到eax最初值为文件中指定的0x44434241，在计算eax+eax*4后，有计算ecx类的地址ecx+eax*4-14的位置，该位置超出了正常的内存。于是对计算出来的错误内存地址进行写操作，造成崩溃。

但是如果事先通过其他手段进行了Heap Spray(例如用Javascript对堆进行淹没攻击)，则可以将文件解压后释放到目标内存中(示例中为”AAAA…”)，其中，可以通过修改图上所示的 41 42 43 44 字段，指定溢出地址。

由此可以看出，只要将ShellCode以JBIG2格式进行压缩放入该stream中，就可以在解析的时候释放到指定的位置，然后配合Heap Spray技术，通过其他手段，将EIP跳转到ShellCode的位置去执行。