来源：幻影maillist

前两天推荐过Mark Dowd的Paper “Exploiting Flash Reliably”
http://hi.baidu.com/secway/blog/item/242655971275376855fb96d8.html

学习了一下，很好很强大。为以后Flash Player漏洞的利用开辟了一条崭新崭新的道路啊。

简单来说，从Flash9开始，实现了一个ActionScript Virtual Machine (AVM)，这个虚拟机首先会验证将要被执行的ActionScript，然后再执行。未经验证的、不可信的ActionScript非常邪恶强大，几乎 相当于以Flash Player运行的权限来执行任意代码，所以虚拟机首先要验证ActionScript来源是合法的。

Mark Dowd发现的这个漏洞(CVE-2007-0071)，据说本来只是个NULL指针Crash，但是他想到了借助AVM，利用这个NULL指针漏洞来破坏AVM验证Script的过程，让自己构造的恶意Script绕过AVM的验证。

恶意的Script甚至可以修改EIP，但由于AVM的种种限制，攻击者也无法随心所欲的修改EIP的值，只能通过移动stack上其它已有的值，来覆盖EIP。但这样已经足够了。

利用这种方法，他已经证实可以非常稳定、通用、跨平台、跨浏览器利用Flash Player的漏洞。
另外，Flash Player在VISTA上也没有以ASLR编译，所以它的漏洞在vista上一样可以稳定利用。

Mark Dowd的这个思路非常好，这个方法之与Flash Player漏洞利用，可以媲美Skylined当年提出的在利用浏览器漏洞时填充内存的方法。