PDF双重释放漏洞CVE-2018-4990深入分析与利用<\/h1>

漏洞概述<\/h2>
CVE-2018-4990是Adobe在2018年5月修复的一个Adobe DC系列PDF阅读器的0day漏洞。该漏洞属于双重释放(Double Free)<\/strong>类型，攻击者通过构造特殊的JPEG2000图像触发Acrobat Reader中的双重释放漏洞，结合JavaScript对ArrayBuffers的灵活控制实现任意地址读写。<\/p>

漏洞利用流程<\/h2>

通过特殊构造的JPEG2000图像触发双重释放<\/li>
利用JavaScript进行精确的堆喷射布局内存<\/li>
触发漏洞释放两块大小为0xfff8的相邻堆块<\/li>
Windows堆分配算法自动合并空闲堆块<\/li>
重新使用合并后的大堆块<\/li>
改写ArrayBuffer对象长度为0x66666666<\/li>
实现任意地址读写<\/li> <\/ol>
漏洞细节分析<\/h2>
代码分析<\/h3>
漏洞样本中的JavaScript代码主要功能：<\/p>

dlldata<\/code>变量包含漏洞触发后加载运行的载荷，用于提权并执行恶意代码<\/li>
使用两个Array实例sprayarr<\/code>和a1<\/code>进行内存控制<\/li>
构造大量对象申请大量堆空间实现Spray布局<\/li>
释放a1<\/code>数组中奇数下标的堆空间<\/li>
Windows堆管理器合并释放的堆块，产生0x2000大小的空间<\/li>
JP2Klib在申请漏洞对象时复用这些释放的堆块<\/li> <\/ol> 关键数据结构<\/h3> Array结构<\/strong>：<\/p> 每个element占8字节<\/li> 值后跟类型标识(如0xffffff81表示数值类型，0xffffff87表示数组类型)<\/li> ArrayBuffer结构大小为0x98字节<\/li> ArrayBuffer数据区域前0xc字节保存实际内存长度<\/li> <\/ul> <\/li> 内存布局<\/strong>：<\/p> sprayarr<\/code>和a1<\/code>都是Array实例<\/li> a1<\/code>的基数element被释放<\/li> Uint32Array结构大小为0x58字节，其中0x3f0为结构大小<\/li> <\/ul> <\/li> <\/ol> 漏洞触发机制<\/h3> 漏洞触发点位于JP2KLib!JP2KCopyRect+0xbad6<\/code><\/li> 调用HeapFree<\/code>函数释放内存时引发异常<\/li> 关键代码循环使用count<\/code>作为空闲内存计数器<\/li> 可以越界访问并释放两个4字节地址(任意地址释放)<\/li> <\/ol> 漏洞调试与分析<\/h2> 调试准备<\/h3> 设置windbg为默认调试器<\/li> 开启页堆：gflags \/i AcroRd32.exe +ust +hpa<\/code><\/li> 附加AcroRd32.exe进程后运行poc文件<\/li> <\/ol> 关键断点设置<\/h3> bp JP2KLib!JP2KCopyRect+0xbaea "dd eax+4 l1; g;" \/\/ 监控max_count bp JP2KLib!JP2KCopyRect+0xbac9 "r eax; r ecx; g;" \/\/ 监控mem_base和count bp JP2KLib!JP2KCopyRect+0xbad0 "r eax; g;" \/\/ 监控释放地址 <\/code><\/pre> 堆分析<\/h3> 使用!heap -p -a 47560c08<\/code>查看基地址信息<\/li> 发现可访问区间比实际使用大小多8字节，导致越界访问<\/li> <\/ol> 漏洞利用技术<\/h2> 堆喷射<\/strong>：构造大量0x400大小的对象<\/li> 内存布局<\/strong>：精确控制释放的地址(如0x0d0e0048和0x0d0f0048)<\/li> 堆合并<\/strong>：释放的两块内存合并为0x20000大小<\/li> 内存重用<\/strong>：分配0x20000-24大小的空间<\/li> 长度改写<\/strong>：将ArrayBuffer长度改写为0x66666666<\/li> 任意读写<\/strong>：通过DataView对象实现全内存读写<\/li> <\/ol> 防御建议<\/h2> 及时更新Adobe Reader到最新版本<\/li> 启用DEP和ASLR等缓解措施<\/li> 对PDF文件进行严格的内容检查<\/li> 限制JavaScript在PDF中的执行<\/li> 使用沙箱环境打开不可信PDF文件<\/li> <\/ol> 总结<\/h2> CVE-2018-4990是一个典型的双重释放漏洞，结合了堆喷射和任意地址释放技术，最终实现任意地址读写。该漏洞利用的关键在于精确的内存布局和控制，以及Windows堆管理器的特性。理解此类漏洞有助于开发更安全的软件和更有效的防御措施。<\/p>