CVE-2011-0065

	环境	备注
操作系统	Windows 7 x86 sp1	专业版
漏洞软件	Firefox	版本号：3.6.16
调试器	Windbg	版本号：6.12.0002.633

0x00 漏洞描述

在Firefox浏览器3.5.19之前的版本，以及3.6.17之前的3.6.x版本中存在UAF漏洞.mChannel对象在被释放后，成为悬挂指针，然后又在后面被重新引用，导致利用漏洞可以执行任意代码

0x01 定位漏洞源码

首先在Windbg调试器中添加Firefox的符号表地址：

SRV*c:\localsymbols*http://symbols.mozilla.org/firefox

然后，用Windbg附加Firefox浏览器进程，并打开以下poc.html

<html>
<body>
<object id="d"><object>
<script type="text/javascript">
var e;
e=document.getElementById("d");

e.QueryInterface(Components.interfaces.nsIChannelEventSink).onChannelRedirect(null,new Object('0c'),0);
e.data = "";

</script>
</body>
</html>

打开后触发异常，此时栈顶的返回地址如下图所示（0x66434e75）

图一 栈回溯

用ub命令查看0x66434e75地址前面的指令，漏洞正是出现在xul.dll模块中

根据c++成员函数this指针调用约定，可以知道上边的ecx为虚表地址，eax为对象地址，而call dword ptr [ecx+18h]调用的正是某个对象的方法，即虚函数。

下面开始在漏洞触发前下断点，先在漏洞触发点所在的函数开头下断

出现了两个同名的函数，根据图一的栈回溯返回地址，我们可以知道我们要找的函数是第二个

因此，对0x66434d6d所在的函数下断点

另外，从poc.html中可以看到关键函数onChannelRedirect,结合触发漏洞的类为xul!nsObjectLoadingContent，我们直接在这个类里搜索关键函数

因此，对xul!nsObjectLoadingContent::onChannelRedirect函数下断点，重新加载poc.html执行后，发现确实可以断下

此时在xul!nsObjectLoadingContent::onChannelRedirect函数下断下，查看它的三个参数，其中第二个参数是对象（0x06c692d0）,其余参数都为0

分析该函数的反汇编

上面的调试信息以及给出了源码的文件路径及行数，因此我们可以直接查看源码，可以通过在线源码地址http://hg.mozilla.org/releases/mozilla-1.9.2/file/c24f21581d77/content/base/src/nsObjectLoadingContent.cpp获取到。

在1028行处，将新对象aNewChannel赋给mChannel对象，但由于Firefox本身的垃圾回收机制，在onChannelRedirect函数调用完毕后，它会回收不再使用的对象，即仅在本函数内使用的aNewChannel对象，此时mchannel就成了悬挂指针

继续执行下去会断在我们前面设置的第二个断点nsObjectLoadingContent::LoadObject函数

同样的，找到函数源码

在1204行，引用了悬挂指针mChannel对象的虚函数

分析到这里，我们可以得出结论：

在nsObjectLoadingCoChannelRedirect函数中，当mChannel对象未被分配时，会临时赋予一个新对象值，而该新对象值在函数返回后会被回收释放，导致mChannel成为悬挂指针，
程序又在后面的nsObjectLoadingContent::LoadObject函数中引用了悬挂指针mChannel,最终导致UAF漏洞的发生。