MS15-119 の解析とWindows 2000パッチリリース
MS15-119の解析しました
| jz L00039124 lea ecx,[esi+04h] mov [ebp-08h],ecx call [HAL.dll!KfAcquireSpinLock] mov [ebp+0Bh],al mov eax,[esi+24h] test al,al jns L00039111 mov ecx,[ebp+0Ch] |
こちらがオリジナル
| jz L00039137 lea ecx,[esi+04h] mov [ebp-08h],ecx call [HAL.dll!KfAcquireSpinLock] mov ecx,[esi+24h] test cl,cl mov [ebp+0Bh],al jns L00039124 cmp dword ptr [esi+000000E8h],00000000h jz L00039124 L00019FF6: mov eax,[ebp+0Ch] test eax,eax jz L0001FCDF L0001A001: |
これが更新版。
Windows 2000の tcpip.sys を調べてみたところ…。
| 0001C7FF 85F6 test esi,esi 0001C801 0F84BB010000 jz L0001C9C2 0001C807 8D4E04 lea ecx,[esi+04h] 0001C80A 894DF8 mov [ebp-08h],ecx 0001C80D FFD3 call ebx 0001C80F 8845FF mov [ebp-01h],al 0001C812 668B465A mov ax,[esi+5Ah] 0001C816 A880 test al,80h 0001C818 0F847B010000 jz L0001C999 000XXXXX 83BE1001000000 cmp dword ptr [esi+00000110h],00000000h 000XXXXX 0F84XXXXXXXX jz L0001C999 0001C81E 8B4D0C mov ecx,[ebp+0Ch] 0001C821 85C9 test ecx,ecx 0001C823 750B jnz L0001C830y 0001C825 F6C408 test ah,08h 0001C828 7406 jz L0001C830 0001C82A 8D8E2C010000 lea ecx,[esi+0000012Ch] |
該当のコードがあったので修正
どっちかというと、パケットの仕様 チェック漏れみたいな感じですね
WLUからダウンロードできます
Translate
wlu でos type winxp sp2で表示されるms15-119を適用するとnot matchとなること。sp3qfeのファイルrevか゜2195となっているのでwin xp2には適用外なのでしょうか。