VC6打开临时文件,导致特权执行漏洞

调试数据下载:
http://www.cciss.cn/uploadFiles/vc6.rar

VC6打开临时文件,导致特权执行漏洞

|=---------------=[ 7all7@163.com]=----------------------=|
|=-----------------------------------------------------------------=|
|=---------------=[ Copyright:www.cciss.cn ]=----------------------=|

--]介绍
VC6好像不用多介绍了吧?虽然VC.NET已经出现很久,但很多习惯了VC6写代码的
程序员还是最爱VC6:)
漏洞发现:7all

--]漏洞描述
使用VC6调试程序时,发现了这个漏洞,于是花了一点时间跟踪了下,由于触发条件
很特殊,很难给大家一个比较合理的解释来形容该漏洞的触发条件.因此我特意把
我跟踪的一些数据打包提供给大家下载,感兴趣的朋友可以进一步的跟踪调试下.
问题出在VC6调用ExtTextOutW函数时传递了不正确的参数,该参数正是VC6打开临时
文件时所触发.而临时文件则需要通过程序来临时生成,所以漏洞触发的条件很特殊.
如果对此感兴趣,可以采取下面的办法来测试该漏洞.
A: 写程序产生临时文件,程序关闭临时文件则删除.
B: 使用VC6打开该临时文件,触发条件有所限制.
C: 根据断点跟踪调试.

//2007/03/31补充
该漏洞可以划分为两个漏洞,一个为GDI特权执行漏洞,今天在浏览eeye时发现了该GDI
特权执行漏洞,该漏洞与这里发现的特权执行漏洞有些许不同,但是其基本原理相差无
几.同时这里应该存在一个VC6与金山词霸的竞争条件漏洞,在竞争的过程中导致特权执
行漏洞.