Espero que no moleste que los ponga aca....
Solo que me parecen interesantes, si molesta es cuestion que lo digan eh

1)
Microsoft Color Management Module Buffer Overflow Exploit (MS05-036)

http://www.frsirt.com/exploits/20050721.icc_ex.c.php

2)
Microsoft Internet Explorer JPEG Image Rendering CMP Fencepost Denial Of Service Vulnerability

http://www.securityfocus.com/bid/14284/references

De este todavia no fue dejadoel Exploit, si hay unaapgina para hacer el TEST,pero obviamente dicen que no es recomendado....

3)Sobretodo me interesa "AMI" este...
Lo probare apenas me llega la nueva placa madre,aver si anda.... veremos que tipo de ejecucion se puede hacer....m mm

http://www.securityfocus.com/archive/1/405377
Internet Explorer / MSN ICC Profiles Crash PoC Exploit

Explicaciones:
*/-----------------------------edwardgagnon--------------/*

Can crash msn and execute commands

Windows has a buffer overflow vulnerability in the processing of embedded ICC Profiles

inside images (jpeg, tiff, etc...)

To test - create a jpeg in adobe photoshop and save it with the ICC checkbox enabled,

make sure you set it to RGB (that does not really matter, just so you can find which

bytes to change for the test).

Open in a hex editor and search for "RGB XYZ " (no quotes, case sensitive)

You are now inside the header of the ICC Profile which is 128 bytes.

104 bytes away is a 4 byte number which is the Tag Count of the ICC Profile.

Change this to "FF FF FF FF" (it will be followed by a 4 byte string which is

part of a 12 byte tag. there are several such tags, it should help you identify

which bytes to change).

Save, open in internet explorer, and see the crash.

and this is the crash:


CODE

.text:73B323BC loc_73B323BC: ; CODE XREF: GetColorProfileElement+D6j

.text:73B323BC cmp [ebx], eax

.text:73B323BE jz short loc_73B323DD

.text:73B323C0 add ebx, 0Ch

.text:73B323C3 inc edx

.text:73B323C4 cmp edx, ecx

.text:73B323C6 jb short loc_73B323BC

.text:73B323C8

.text:73B323C8 loc_73B323C8: ; CODE XREF: GetColorProfileElement+CAj

.text:73B323C8 push 7DCh ; dwErrCode

.text:73B323CD call ds:SetLastError


ebx is controlable. but gets a read access violation.

....be kool and create a PoC and change your sig to the exploit.jpg

Bye 8) 

Bueno pues ya lo he traducido "mas o menos" con un programa... es la 1ª que posteo aunque llevo 2 años leyendo vuestros mensajes de diferentes secciones del foro y bueno.... trato de aprender, bueno ahi va, que os sirva!:

Explicaciones: 
* /----------------------------- el edwardgagnon--------------/ * 
 
Pueda chocar el msn y pueda ejecutar los órdenes 
 
Windows tiene una vulnerabilidad de la inundación más de color de ante en el proceso de Perfiles de ICC incluido 
 
dentro de las imágenes (el jpeg, el tiff, el etc...) 
 
Para probar - cree un jpeg en el photoshop del adobe y sálvelo con la casilla de verificación de ICC habilitada, 
 
asegúrese usted lo puso a RGB (a eso no le importa realmente, sólo para que usted puede encontrar qué 
 
los bytes para cambiar para la prueba). 
 
Abra en un editor del hechizo y busque "RGB XYZ " (ninguna cita, caso sensible) 
 
Usted está ahora dentro del título del Perfil de ICC que es 128 bytes. 
 
104 bytes están lejos un 4 byte número que es la Cuenta de la Etiqueta del Perfil de ICC. 
 
Cambie esto a "FF el FF FF FF" (se seguirá por un 4 byte cordón que es 
 
la parte de una 12 byte etiqueta. hay varios cosas así etiqueta, debe ayudarle a identificar 
 
qué bytes para cambiar). 
 
Ahorre, abra en el explorador del internet, y vea la caída. 
 
y ésta es la caída: 
 
 
EL CÓDIGO 
 
. el loc_73B323BC del text:73B323BC: ; CODIFIQUE XREF: GetColorProfileElement+D6j 
 
. el cmp del text:73B323BC [el ebx], eax 
 
. el jz del text:73B323BE el loc_73B323DD corto 
 
. los text:73B323C0 agregan ebx, el 0Ch, 
 
. el edx de inc de text:73B323C3 
 
. el edx de cmp de text:73B323C4, el ecx, 
 
. el jb del text:73B323C6 el loc_73B323BC corto 
 
. el text:73B323C8 
 
. el loc_73B323C8 del text:73B323C8: ; CODIFIQUE XREF: GetColorProfileElement+CAj 
 
. los text:73B323C8 empujan 7DCh; el dwErrCode 
 
. los text:73B323CD llaman el ds:SetLastError 
 
 
el ebx es el controlable. pero consigue una violación de acceso leída. 
 
.... sea el kool y cree un PoC y cambie su sig al exploit.jpg 
 
Adiós la Mueca Fresca

Jaja muy interesante creo que el exploit se entiende perfectamente es muy simple solo creas la imagen  habilitas icc, habres el editor buscas "RGB XYZ" lo cambias por fffffffff y peta se me ocurre algunas ideas, seria posible  insertar una shell o es una idea muy remota...

Aki va una traduccion mia, xk con esa no se entiende nada. Tan solo hay un par de cosas que pueden estar mal, pero trankilos que ya las he indicado


*/-----------------------------edwardgagnon--------------/*
Se puede colgar el msn y ejecutar comandos.

Windows tiene una vulnerabilidad buffer overflow en el procesamiento de perfiles ICC "empotrados" en imagenes (jpeg,tiff,etc...)

Para probarlo crea un jpeg en adobe photoshop y guardalo con la casilla de ICC activada, asegurate de hacerlo en RGB(esto no inporta mucho, simplemente puedes encontrar que bytes tienes que canviar para el test)

Abre en un editor hexadeciml y busca "RGB XYZ" (no quotes, case sensitive)  <--Esto no se k kiere decir, y en el diccionario no venia quote. :S

Ahora estas dentro del encabezamiento del ICC Profile k es de 128 bytes.

104 bytes mas abajo hay un numero de 4 bytes que es el Tag Count del ICC Profile

Canvialo por "FF FF FF FF" (a esto le sigue una cadena de 4 bytes que es parte de un tag de 12 byte. Hay varios tags como estos, esto puede ayudarte a indentificar que bytes tienes que canviar).

Guardalo, abrelo en el internet explorer, y observa el error.
Y este es el error:

CODIGO

.text:73B323BC loc_73B323BC: ; CODE XREF: GetColorProfileElement+D6j

.text:73B323BC cmp [ebx], eax

.text:73B323BE jz short loc_73B323DD

.text:73B323C0 add ebx, 0Ch

.text:73B323C3 inc edx

.text:73B323C4 cmp edx, ecx

.text:73B323C6 jb short loc_73B323BC

.text:73B323C8

.text:73B323C8 loc_73B323C8: ; CODE XREF: GetColorProfileElement+CAj

.text:73B323C8 push 7DCh ; dwErrCode

.text:73B323CD call ds:SetLastError


ebx es controlable. Pero provoca una violacion de accesos de lectura [[O eso he entendido...]]
....Se bueno y crea un PoC y canvia tu "sig" a exploit.jpg

Adios

Sin son 104 bytes, 8 bytes = 1 carácter, 104:8 = 13 carácteres más abajo, eso creo, ya podrian haberlo explicado algo mejor.

Ahí está equivocado YeIk0s. En todo caso serían 8 bits = 1 carácter = 1 byte, por tanto, 8 bytes serán 8 carácteres y 104 bytes serán 104 carácteres.

1 byte = 8 bits   (FF = 11111111)
1 kbyte = 1024 bytes
1 mbyte = 1024 kbytes

Por tanto, habrían que sumarle 104 posiciones a la posición donde dice el texto. Tan facil como que en un editor hexadecimal siempre hay una función de GoTo, por tanto, si tienes la dirección 0x0031BC le sumas 104 y listo

Cierto, confundí los bytes con los bits  .

PD: 104 bytes más abajo (aproximadamente) he encontrado "cprt", he cambiado sus respectivos valores HEX a FF FF FF FF, hasta ahí he llegado, hay que hacer algo más?

Eso es lo que hice pero nada, estará parcheado...