明らかに、メモリの操作中にこのようなエラーが発生すると、無効なポインタによってアクセスされるため、ブラウザがクラッシュする可能性があります。 ただし、このエクスプロイトの場合、攻撃者は脆弱なコードが目的のアドレスに制御を移すように、独自の目的でそれを使用します。 原則として、これにはヒープスプレーが使用されます。これにより、ヒープ内の予測可能なアドレスに多数のメモリブロックを確保し、攻撃者に必要な命令を埋めることができます。 Internet Explorer 11の6月と7月の累積的な更新プログラムで、Microsoftはオブジェクトにメモリを割り当て、メモリブロックのリリースを遅らせるときに、分離されたヒープの形で追加の緩和技術を導入しました。 このアプローチは、ブラウザーコードを保護します。ブラウザーコードには、メモリを操作しているときにエラーが含まれている可能性があり、エクスプロイトのアクションから保護されます。
通常、ヒープメモリロジックは次のようになります。
1)ブラウザがヒープ上にメモリブロックを割り当てます。
2)それを使用します。
3)リリース。
コードのバグの場合、メモリの操作は次のようになります。
1)ブラウザがヒープ上にメモリブロックを割り当てます。
2)それを使用します。
3)リリース。
4)変数に格納されたポインターによって(たとえば、vtableを介して)このブロックに繰り返しアクセスします。
最も一般的な操作レイアウトは次のようになります。
1)ブラウザがヒープ上にメモリブロックを割り当てます。
2)それを使用します。
3)リリース。
4)ユーザーがエクスプロイトを使用してWebページにアクセスします。
5)エクスプロイトは(ASLRをバイパスするために)スプレーヒープを実行し、ブロックに必要なコード(シェルコードなど)またはメモリアドレス(脆弱性をトリガーするため)を埋めます。
6)この悪用コードは、段落4のように、既に有効な無効なポインターによってブラウザーコードにアクセスされる状況の条件を作成します。
7)ブラウザはポインターに戻り、無許可のコードでメモリブロックに制御を移します(これを行う前に、 ntdll!NtProtectVirtualMemoryを介してヒープブロックのDEPを無効にするエクスプロイトガジェットを実行します)。
このような状況では、脆弱なコードを悪用から保護するために、メモリの別個のヒープとそれからのメモリの遅延リリースを使用できます。 メモリブロックは後で解放されるため、攻撃者はこのアドレスを再予約できません。 このようなメカニズムは、Microsoftによって導入されました。
図 CMarkup :: CreateInitialMarkupメソッドを使用して分離されたヒープにメモリを割り当て、CMarkupオブジェクトを初期化します。MicrosoftInternet Explorer CMarkupの解放後のリモートコード実行の脆弱性を参照してください。 MS14-035より前は、共通プロセスメモリヒープから割り当てが行われていました。
図 7月MS14-037では、 MemoryProtection :: CMemoryProtector :: ProtectedFreeメソッドを使用してメモリブロックの遅延リリースを導入しました。このメソッドは、ブロックを実際には解放せず、システムデータ構造内で必要なメモをマークするだけです。
図 遅延メモリロジックの実装を担当するメソッド。
図 MemoryProtection :: CMemoryProtector :: ProtectedFreeメソッドは、分離されたヒープ_g_hIsolatedHeapと_g_hProcessHeapプロセス自体のヒープのメモリブロックの遅延解放を導入します 。
図 遅延メモリ割り当て解除は、CTreeNodeクラスでも使用されます。 以前の解放後使用CVE-2013-3893を参照してください。
したがって、Internet Explorer 11でWindows 8.1 x64の最新バージョンを操作する場合、ユーザーは0day脆弱性の悪用を防ぐために必要な機能を備えています。
安全である。