VULHUB ™

MSN Messenger是微软发布的非常流行的即时通讯聊天工具。 Microsoft MSN Messenger 6.2、7.0、7.5以及Live Messenger 8.0版本中 MSN VIDEO处理用户请求时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。 MSN VIDEO的协议分为两个大部分：webcam和video conversation，其中webcam带有一个9个字节的头： (UDP header)9d 49 e1 8e 4a 09 be 09 0a ( payload) 第1、2个字节代表payload长度(0x499d & 2047 = 413)，后面的payload长度就为413了。 同时也代表报文类型(0x499d >> 11 & 7 = 1)，1代表video内容，2、3为ack/syn。 下面4个字节代表时间戳，第7个字节(0xbe)是完整的frame的序号，同一个frame的不同packet部分，这字节应该相同，这可以作为拼包的重要依据。 第8个字节非常重要,，0x09表明这是组成一个完整的frame的第10个payload，如果为01，代表为第二部分，以此类推。问题就出在这里，在所有7.x版本里，都没有检查这1个字节，当这个字节的值大于等于0x83的时候，就会产生堆溢出。

MSN Messenger是微软发布的非常流行的即时通讯聊天工具。 Microsoft MSN Messenger 6.2、7.0、7.5以及Live Messenger 8.0版本中 MSN VIDEO处理用户请求时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。 MSN VIDEO的协议分为两个大部分：webcam和video conversation，其中webcam带有一个9个字节的头： (UDP header)9d 49 e1 8e 4a 09 be 09 0a ( payload) 第1、2个字节代表payload长度(0x499d & 2047 = 413)，后面的payload长度就为413了。 同时也代表报文类型(0x499d >> 11 & 7 = 1)，1代表video内容，2、3为ack/syn。 下面4个字节代表时间戳，第7个字节(0xbe)是完整的frame的序号，同一个frame的不同packet部分，这字节应该相同，这可以作为拼包的重要依据。 第8个字节非常重要,，0x09表明这是组成一个完整的frame的第10个payload，如果为01，代表为第二部分，以此类推。问题就出在这里，在所有7.x版本里，都没有检查这1个字节，当这个字节的值大于等于0x83的时候，就会产生堆溢出。