微软MS09-002漏洞分析报告

　　Internet Explorer的CFunctionPointer函数没有正确处理文档对象，如果以特定序列附加并删除了对象，就可以触发内存破坏。攻击者可以构造特殊顺序的代码触发这个内存破坏，同时利用精心构造的缓冲区，导致以当前登录用户的权限执行任意代码。

　　该弱点实际存在于mshtml.dll中。CFunctionPointer对象在其构造函数中没有正确地引用文档对象(标签对象或其它)，导致该文档对象可能在CFunctionPointer对象释放前被释放，而CFunctionPointer会继续使用这个已经被销毁的文档对象。

　　这是CFunctionPointer的构造函数:

　　public: __thiscall CFunctionPointer::CFunctionPointer(class CBase *, long)

　　.text:775E7BE9 mov edi, edi

　　.text:775E7BEB push ebp

　　.text:775E7BEC mov ebp, esp

　　.text:775E7BEE push esi

　　.text:775E7BEF mov esi, ecx

　　.text:775E7BF1 call ??0CBase@@QAE@XZ ; CBase::CBase(void)

　　.text:775E7BF6 mov ecx, [ebp+pOwner]

　　.text:775E7BF9 test ecx, ecx

　　.text:775E7BFB mov eax, [ebp+pISecurityContext]

　　.text:775E7BFE mov dword ptr [esi], offset ??_7CFunctionPointer@@6B@ ; const CFunctionPointer::`vftable’

　　.text:775E7C04 mov [esi+10h], ecx // 设置关联文档对象

　　在设置文档对象时，CFunctionPointer的构造函数仅仅是容易的将其赋给[edi+10h]，而没有对其进行引用(AddRef)。

　　而在CFunctionPointer其他函数中几乎都使用了该关联文档对象指针，例如实现IUnknown::AddRef的CFunctionPointer::PrivateAddRef,实现IUnknown::Release的CFunctionPointer::PrivateRelease。