Closed
Bug 579768
Opened 14 years ago
Closed 13 years ago
Crash [@ LiteralImpl::Create]when browser passed a large escaped title
Categories
(Toolkit :: Places, defect)
Tracking
()
RESOLVED
WORKSFORME
Tracking | Status | |
---|---|---|
blocking2.0 | --- | - |
People
(Reporter: lsatchel, Assigned: bent.mozilla)
Details
(Keywords: crash, testcase, Whiteboard: [critsmash:investigating][oom][sg:needinfo])
Crash Data
Attachments
(8 files)
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.99 Safari/533.4 Build Identifier: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729; .NET4.0C) Hi Guys, Crash when passing a large title. IE: OK Chromium: OK Firefox 3.6.6 (Crashes) 0:000> k ChildEBP RetAddr 002ff904 69f6c54b kernel32!RaiseException+0x58 002ff93c 69f74f33 MOZCRT19!_CxxThrowException+0x46 [f:\sp\vctools\crt_bld\self_x86\crt\prebuild\eh\throw.cpp @ 161] 002ff954 626f1e85 MOZCRT19!operator new+0x73 [e:\builds\moz2_slave\win32_build\build\obj-firefox\memory\jemalloc\crtsrc\new.cpp @ 61] 002ff964 6270a11a xul!LiteralImpl::Create+0x35 [e:\builds\moz2_slave\win32_build\build\rdf\base\src\nsrdfservice.cpp @ 484] 002ff978 62721562 xul!RDFServiceImpl::GetLiteral+0x37 [e:\builds\moz2_slave\win32_build\build\rdf\base\src\nsrdfservice.cpp @ 1131] 002ff9ac 62881aee xul!nsWindowDataSource::OnWindowTitleChange+0x8b [e:\builds\moz2_slave\win32_build\build\xpfe\components\windowds\nswindowdatasource.cpp @ 181] 002ff9bc 62881181 xul!notifyWindowTitleChange+0x13 [e:\builds\moz2_slave\win32_build\build\xpfe\appshell\src\nswindowmediator.cpp @ 812] 002ff9d0 6287fa60 xul!nsSupportsArray::EnumerateForwards+0x20 [e:\builds\moz2_slave\win32_build\build\xpcom\ds\nssupportsarray.cpp @ 627] 002ff9f8 6270961d xul!nsWindowMediator::UpdateWindowTitle+0x42 [e:\builds\moz2_slave\win32_build\build\xpfe\appshell\src\nswindowmediator.cpp @ 383] 002ffa1c 626c9f02 xul!nsXULWindow::SetTitle+0xa2 [e:\builds\moz2_slave\win32_build\build\xpfe\appshell\src\nsxulwindow.cpp @ 906] 002ffa28 6273cd6e xul!nsChromeTreeOwner::SetTitle+0x1b [e:\builds\moz2_slave\win32_build\build\xpfe\appshell\src\nschrometreeowner.cpp @ 517] 002ffa54 6285206d xul!nsDocShell::SetTitle+0x63 [e:\builds\moz2_slave\win32_build\build\docshell\base\nsdocshell.cpp @ 4612] 002ffb28 10019def xul!nsDocument::DoNotifyPossibleTitleChange+0x20d [e:\builds\moz2_slave\win32_build\build\content\base\src\nsdocument.cpp @ 5038] 002ffb34 628e2d16 nspr4!_PR_MD_UNLOCK+0x1f [e:\builds\moz2_slave\win32_build\build\nsprpub\pr\src\md\windows\w95cv.c @ 347] 002ffba8 628ff027 xul!nsRunnableMethod<nsXMLStylesheetPI,void>::Run+0x13 [e:\builds\moz2_slave\win32_build\build\obj-firefox\dist\include\nsthreadutils.h @ 283] 002ffbc0 69f49a1d xul!MessageLoop::RunHandler+0x26 [e:\builds\moz2_slave\win32_build\build\ipc\chromium\src\base\message_loop.cc @ 200] 002ffc28 628fedd6 MOZCRT19!malloc+0x3d [e:\builds\moz2_slave\win32_build\build\obj-firefox\memory\jemalloc\crtsrc\jemalloc.c @ 5790] 002ffc34 626dfb02 xul!nsAppStartup::Run+0x1e [e:\builds\moz2_slave\win32_build\build\toolkit\components\startup\src\nsappstartup.cpp @ 184] 002ffc3c 008260a8 xul!XRE_main+0xdc1 [e:\builds\moz2_slave\win32_build\build\toolkit\xre\nsapprunner.cpp @ 3485] WARNING: Frame IP not in any known module. Following frames may be wrong. 002ffc40 00000000 0x8260a8 Examining the crash.. it may be exploitable? Reproducible: Sometimes Steps to Reproduce: It doesn't crash every time, may need to refresh the page or adjust the buffer. I have attached a html file which causes the crash Actual Results: Mozilla Crash Reporter: The browser will crash with We're Sorry Firefox had a problem and crashed. We'll try to restore your tabs and windows when it restarts. Expected Results: Not Crash dump attached
Comment 5•14 years ago
|
||
Simon: I was not able to reproduce your crash using Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6. I will try Windows Vista next.
Comment 6•14 years ago
|
||
Was not able to reproduce using Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 either. If you submitted a crash report it would be helpful to have the crash ID from about:crashes. Thanks.
Sorry Marcia, was tied up with another. Heres the URL http://crash-stats.mozilla.com/report/index/17ab0393-c15a-4c1e-b174-33fec2100719
0:000> eax=4a437a2e ebx=40400008 ecx=0280dd11 edx=00000002 esi=404005e8 edi=002dfa9c eip=6a53761a esp=002df540 ebp=002df548 iopl=0 nv up ei pl nz na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010206 MOZCRT19!memcpy+0x5a: 6a53761a f3a5 rep movs dword ptr es:[edi],dword ptr [esi] 0:000> kP ChildEBP RetAddr 002df548 00000000 MOZCRT19!memcpy( unsigned char * dst = 0x42424242 "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB...BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB...", unsigned char * src = 0x42424242 "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB...BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB...", unsigned long count = 0x42424242)+0x5a [F:\SP\vctools\crt_bld\SELF_X86\crt\src\intel\memcpy.asm @ 188]
Comment 9•14 years ago
|
||
Based on the stack trace it looks like you're just running out of memory. (The "new" operator throws when that happens.)
Group: core-security
Whiteboard: [sg:dos]
Reporter | ||
Comment 10•14 years ago
|
||
hmm.. i'll have a look after work today. To me it looks like a BOF in memcpy no, I can control both *dst, *src, count?
Reporter | ||
Comment 11•14 years ago
|
||
Could be wrong, sorta looks like the 3 parameters to memcpy are trashed?
Comment 12•14 years ago
|
||
http://crash-stats.mozilla.com/report/index/17ab0393-c15a-4c1e-b174-33fec2100719 0 kernel32.dll RaiseException 1 mozcrt19.dll _CxxThrowException throw.cpp:159 2 mozcrt19.dll operator new obj-firefox/memory/jemalloc/crtsrc/new.cpp:57 3 xul.dll LiteralImpl::Create rdf/base/src/nsRDFService.cpp:484 4 xul.dll RDFServiceImpl::GetLiteral rdf/base/src/nsRDFService.cpp:1131 5 xul.dll nsWindowDataSource::OnWindowTitleChange xpfe/components/windowds/nsWindowDataSource.cpp:180 6 xul.dll notifyWindowTitleChange xpfe/appshell/src/nsWindowMediator.cpp:810 7 xul.dll nsSupportsArray::EnumerateForwards xpcom/ds/nsSupportsArray.cpp:627 8 xul.dll nsWindowMediator::UpdateWindowTitle xpfe/appshell/src/nsWindowMediator.cpp:380 9 xul.dll nsXULWindow::SetTitle xpfe/appshell/src/nsXULWindow.cpp:904 10 xul.dll nsChromeTreeOwner::SetTitle xpfe/appshell/src/nsChromeTreeOwner.cpp:516 11 xul.dll nsDocShell::SetTitle docshell/base/nsDocShell.cpp:4611 12 xul.dll nsDocument::DoNotifyPossibleTitleChange content/base/src/nsDocument.cpp:5038 13 nspr4.dll _PR_MD_UNLOCK nsprpub/pr/src/md/windows/w95cv.c:344 14 xul.dll nsRunnableMethod<nsXMLStylesheetPI,void>::Run obj-firefox/dist/include/nsThreadUtils.h:282 15 xul.dll mozilla::ipc::MessagePump::Run ipc/glue/MessagePump.cpp:118 16 xul.dll MessageLoop::RunHandler ipc/chromium/src/base/message_loop.cc:199 17 xul.dll MessageLoop::Run ipc/chromium/src/base/message_loop.cc:173 18 xul.dll nsBaseAppShell::Run widget/src/xpwidgets/nsBaseAppShell.cpp:174 19 xul.dll nsAppStartup::Run toolkit/components/startup/src/nsAppStartup.cpp:183 20 nspr4.dll nspr4.dll@0xbdcf 21 firefox.exe wmain toolkit/xre/nsWindowsWMain.cpp:120 22 firefox.exe __tmainCRTStartup obj-firefox/memory/jemalloc/crtsrc/crtexe.c:591 23 kernel32.dll BaseThreadInitThunk 24 ntdll.dll __RtlUserThreadStart 25 ntdll.dll _RtlUserThreadStart
Summary: Crash when browser passed a large escaped title → Crash [@ LiteralImpl::Create]when browser passed a large escaped title
Reporter | ||
Comment 13•14 years ago
|
||
Kewl, my bad..
Comment 14•14 years ago
|
||
Turns out this could actually be considered a security bug, it writes 42424242 on the call stack and overwrites the ESI...
Comment 15•14 years ago
|
||
Evidence of memory corruption...
Reporter | ||
Comment 16•14 years ago
|
||
as stated, this bug could possibly be armed. Maybe this should hidden from prying eyes ChildEBP RetAddr 0029f700 42424141 MOZCRT19!memcpy( unsigned char * dst = 0x42424141 "ABBAABBAABBAABBAABBAABBAABBAABBAABBAABBAABB.", unsigned char * src = 0x42424141 "ABBAABBAABBAABBAABBABBAABBAABBAABB.", unsigned long count = 0x42424141)+0x5a [F:\SP\vctools\crt_bld\SELF_X86\crt\src\intel\memcpy.asm @ 188]
Reporter | ||
Comment 17•14 years ago
|
||
When memcpy() returns it pops the return address 42424141 off the stack and jumps to that address (i.e. starts executing instructions from that address)
Comment 18•14 years ago
|
||
(In reply to comment #17) > When memcpy() returns it pops the return address 42424141 off the stack and > jumps to that address (i.e. starts executing instructions from that address) Well, then clearly it is armed, all you have to do is change 42424242 to the address where shellcode is stored, and it gets executed. (This should be kept private)
Reporter | ||
Comment 19•14 years ago
|
||
Absolutely true Alexander, this should be kept private. I don't know why I didn't spot this, I blatantly assumed this was an OutOfMemory myself after Jesses comment. Can you make this bug invisible from the outside alexander?
Comment 20•14 years ago
|
||
Marking as security-sensitive and clearing whiteboard for re-triaging.
Group: core-security
Whiteboard: [sg:dos]
Comment 21•14 years ago
|
||
(In reply to comment #19) > Absolutely true Alexander, this should be kept private. I don't know why I > didn't spot this, I blatantly assumed this was an OutOfMemory myself after > Jesses comment. > > Can you make this bug invisible from the outside alexander? Thanks :)
Comment 22•14 years ago
|
||
could someone please provide the version they're using and a complete stack to this memcpy? if new ooms, then it should abort() which should be safe. it sounds like new isn't being called, but for that we need to see a stack. the full stacks in this bug do *not* show memcpy, only RaiseException
Reporter | ||
Comment 23•14 years ago
|
||
You are correct @timeless.. the call to allocate with new() throws an un-continuable exception. This bug is not dangerous. Apologies for wasting your time guys. I am still learning. Cheers , Simon
Reporter | ||
Comment 24•14 years ago
|
||
Okay, I had a bit of spare time over the bank holiday weekend & decided to give this another look. It is pretty evident with the original test case, that new blows up. I have adjusted the buffer slightly.. much smaller to 100. What I found while debugging looks very interesting. ChildEBP RetAddr 001ef7ac 728af1b3 MOZCRT19!_VEC_memcpy( void * dst = 0x41414141, void * src = 0x41414141, int len = 1094795585)+0xe2 001ef7cc 728afb23 sqlite3!sqlite3VdbeMemSetStr( struct Mem * pMem = 0x41414141, char * z = 0x41414141 "--- memory read error at address 0x41414141 ---", int n = 1094795585, unsigned char enc = 0x41 'A', <function> * xDel = 0x41414141)+0x113 [e:\builds\moz2_slave\win32_build\build\db\sqlite3\src\sqlite3.c @ 46755] 001ef7f4 728afc3d sqlite3!bindText( struct sqlite3_stmt * pStmt = 0x057721f0, int i = 0, void * zData = 0x05772208, int nData = 0, <function> * xDel = 0x00000000, unsigned char encoding = 0x00 '')+0x43 [e:\builds\moz2_slave\win32_build\build\db\sqlite3\src\sqlite3.c @ 51206] I have attached a new test case & my debug output including the steps to reproduce. Just to be clear, I am using Windows Vista Home Premium sp2 with Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729). I hope this is better reproducible than my previous test case. Cheers, Simon
Reporter | ||
Comment 25•14 years ago
|
||
Reporter | ||
Comment 26•14 years ago
|
||
Comment 27•14 years ago
|
||
(In reply to comment #24) > Okay, I had a bit of spare time over the bank holiday weekend & decided to give > this another look. It is pretty evident with the original test case, that new > blows up. > > I have adjusted the buffer slightly.. much smaller to 100. What I found while > debugging looks very interesting. > > ChildEBP RetAddr > 001ef7ac 728af1b3 MOZCRT19!_VEC_memcpy( > void * dst = 0x41414141, > void * src = 0x41414141, > int len = 1094795585)+0xe2 > 001ef7cc 728afb23 sqlite3!sqlite3VdbeMemSetStr( > struct Mem * pMem = 0x41414141, > char * z = 0x41414141 "--- memory read error at address 0x41414141 > ---", > int n = 1094795585, > unsigned char enc = 0x41 'A', > <function> * xDel = 0x41414141)+0x113 > > [e:\builds\moz2_slave\win32_build\build\db\sqlite3\src\sqlite3.c @ 46755] > 001ef7f4 728afc3d sqlite3!bindText( > struct sqlite3_stmt * pStmt = 0x057721f0, > int i = 0, > void * zData = 0x05772208, > int nData = 0, > <function> * xDel = 0x00000000, > unsigned char encoding = 0x00 '')+0x43 > > [e:\builds\moz2_slave\win32_build\build\db\sqlite3\src\sqlite3.c @ 51206] > > I have attached a new test case & my debug output including the steps to > reproduce. Just to be clear, I am using Windows Vista Home Premium sp2 with > > Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.2.6) Gecko/20100625 > Firefox/3.6.6 (.NET CLR 3.5.30729). > > I hope this is better reproducible than my previous test case. > > Cheers, > Simon That looks like it would actually execute something, seeing that you overwrite values for memcpy()... You think you could post the results with the larger buffer?
Comment 28•14 years ago
|
||
crit, blocker, assigning to bent.
Assignee: nobody → bent.mozilla
blocking2.0: --- → final+
Whiteboard: [sg:critical?][critsmash:investigating]
Comment 29•14 years ago
|
||
ok. the original bug claims to be LiteralImpl::Create, the new bug seems to be sqlite3. Generally we try not to morph bugs. Unfortunately there's already too much confidential stuff in this bug, so forking isn't worth it. alexander: could you please provide about 7 stack frames? memcpy shows a problem, bindText shows which module (that's progress), but w/o the module that's calling sqlite (ideally places or something like it) and its consumer (some sort of session history call?), it's really hard to decide who should fix what/where.
Assignee: bent.mozilla → nobody
Component: Security → Places
Keywords: crash
Product: Firefox → Toolkit
QA Contact: firefox → places
Version: 3.6 Branch → 1.9.2 Branch
Reporter | ||
Comment 30•14 years ago
|
||
Just a quick thought. The default encoding on sqlite is UTF-8. Within the call stack I see sqlite3!sqlite3_bind_text16. Is it interpreteing as UTF-16, which would correspond to the unicode input?
Comment 31•14 years ago
|
||
(In reply to comment #30) > Just a quick thought. The default encoding on sqlite is UTF-8. Within the call > stack I see sqlite3!sqlite3_bind_text16. Is it interpreteing as UTF-16, which > would correspond to the unicode input? No, it does the conversion.
Comment 32•14 years ago
|
||
(In reply to comment #29) > ok. the original bug claims to be LiteralImpl::Create, the new bug seems to be > sqlite3. Generally we try not to morph bugs. Unfortunately there's already too > much confidential stuff in this bug, so forking isn't worth it. > > alexander: could you please provide about 7 stack frames? memcpy shows a > problem, bindText shows which module (that's progress), but w/o the module > that's calling sqlite (ideally places or something like it) and its consumer > (some sort of session history call?), it's really hard to decide who should fix > what/where Well, we are running completely different operating systems, and different versions of firefox, so a stack trace would be pointless. I was commenting on the trace posted by simon.
Assignee | ||
Comment 33•14 years ago
|
||
I can't reproduce this with the latest from 1.9.2. Not sure what can be done here.
Reporter | ||
Comment 34•14 years ago
|
||
Hi Ben, Just reproduced on the lastest version 3.6.8. Simon
Reporter | ||
Comment 35•14 years ago
|
||
Reporter | ||
Comment 36•14 years ago
|
||
Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 (.NET CLR 3.5.30729)
OS: Windows Vista → Windows 2000
Assignee | ||
Comment 37•14 years ago
|
||
(In reply to comment #34) > Just reproduced on the lastest version 3.6.8. Thanks. To be clear, which testcase were you using?
Reporter | ||
Comment 38•14 years ago
|
||
I am using the attached named "New Test Case" Ben. I increased the length of the string within this to 1000. And if you follow the instructions located at the top of "My Test Output Data". Let me know how you get on. Cheers Ben, Simon
Assignee | ||
Comment 39•14 years ago
|
||
I'm unable to crash on 3.6.8 and I further didn't see any evidence of memory corruption. I tried both 64-bit and 32-bit Windows 7, with our stock 3.6.8. I tried length 1000 and 100000 as well. Simon, are you running with any extensions perhaps? Could you try on a clean profile?
Comment 40•14 years ago
|
||
How much memory do you guys have? Could that be the difference between Ben and Simon?
Reporter | ||
Comment 41•14 years ago
|
||
Okay, I have reproduced again in Safe Mode with no add ons on a different machine, same outcome. Just to note, this does not crash.. there is just evidence of memory corruption. Ben, if you cannot reproduce, we can organize a team viewer session.. pop me an email and we could organize a time. This machine has 3GB of ram. (In reply to comment #39) > I'm unable to crash on 3.6.8 and I further didn't see any evidence of memory > corruption. I tried both 64-bit and 32-bit Windows 7, with our stock 3.6.8. I > tried length 1000 and 100000 as well. > > Simon, are you running with any extensions perhaps? Could you try on a clean > profile?
Assignee | ||
Comment 42•14 years ago
|
||
Simon, have you tried a trunk build? Like our recently-released Firefox 4 Beta 4? Does it happen there too? We also have debug builds of trunk available (http://ftp.mozilla.org/pub/mozilla.org/firefox/tinderbox-builds/mozilla-central-win32-debug), maybe try those too?
Comment 43•14 years ago
|
||
Simon, did you have a chance to try with a clean profile etc?
Comment 44•14 years ago
|
||
Er, make that trunk build.
Reporter | ||
Comment 45•14 years ago
|
||
Sorry Ben, I have been up to my eyes with things. I have tested under the latest Firefox 4 and it seems to ok, no memory corruption.
Comment 46•14 years ago
|
||
simon, if you think it's important to fix this in older versions of Firefox, you could use nightlies to try to find out when it became fixed. Otherwise, I think it's reasonable to treat this as WFM, since we were never able to reproduce it and you find that it has gone away in Firefox 4.
Status: UNCONFIRMED → RESOLVED
Closed: 14 years ago
Resolution: --- → WORKSFORME
Comment 48•14 years ago
|
||
Worth one more try to repro on 1.9.2
Status: RESOLVED → REOPENED
Ever confirmed: true
Resolution: WORKSFORME → ---
Comment 49•14 years ago
|
||
I tried reproducing this in a Win XP VM using Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 (.NET CLR 3.5.30729). https://bug579768.bugzilla.mozilla.org/attachment.cgi?id=458206&t=pGfbgGW8uP consistently causes Firefox to freeze and I have to force quit, but no crash.
Comment 50•14 years ago
|
||
Can we just get Ben Turner and Simon on the phone and walk through this together?
Assignee | ||
Comment 51•14 years ago
|
||
What's to walk through? I've played with this bug multiple times and haven't seen anything suspicious.
Reporter | ||
Comment 52•14 years ago
|
||
(In reply to comment #51) > What's to walk through? I've played with this bug multiple times and haven't > seen anything suspicious. Okay, it has been a while since this bug has been logged. Initially, I caused some confusion with a different test case. My sincere apologies for this. I have put together a video.. it illustrates what I see. I am using the attached test case "New Test Case". I hope that this outlines exactly a methodological approach to reproducing and finally fixing this.
Reporter | ||
Comment 53•14 years ago
|
||
Link to video, hope quality is ok. http://www.dropshots.com/sidebyrne#date/2010-10-20/20:57:51 thanks, Simon
Reporter | ||
Comment 54•14 years ago
|
||
sorry, dropshots has a limit of 2mins, i've made it sorter http://www.dropshots.com/sidebyrne#date/2010-10-20/22:30:37
Reporter | ||
Comment 55•14 years ago
|
||
Same test case, on windows 7 Home Premium Also reproducable in Mozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 Tried latest download - Not evident in this release Mozilla/5.0 (Windows; U; Windows NT 6.1; en-GB; rv:1.9.2.11) Gecko/20101012 Firefox/3.6.11
Reporter | ||
Comment 56•14 years ago
|
||
Any update on this bug?
Updated•14 years ago
|
Whiteboard: [sg:critical?][critsmash:investigating] → [sg:critical?][critsmash:investigating][oom]
Comment 57•14 years ago
|
||
Alex, can you still reproduce the exploitable-looking stack? Can you help us debug, or let us borrow your computer in order to debug?
Comment 58•14 years ago
|
||
(In reply to comment #57) > Alex, can you still reproduce the exploitable-looking stack? Can you help us > debug, or let us borrow your computer in order to debug? I can't reproduce 41414141 as a return address on the stack, but I do see very obvious examples of stack corruption in memcpy and whatnot.
Comment 59•14 years ago
|
||
We don't have enough info to block 2.0 here.
blocking2.0: final+ → -
Whiteboard: [sg:critical?][critsmash:investigating][oom] → [sg:critical?][critsmash:investigating][oom][sg:needinfo]
Updated•14 years ago
|
Keywords: testcase
Whiteboard: [sg:critical?][critsmash:investigating][oom][sg:needinfo] → [critsmash:investigating][oom][sg:needinfo]
Comment 60•13 years ago
|
||
(In reply to comment #59) > We don't have enough info to block 2.0 here. Did we repro this in 2.0?
Comment 61•13 years ago
|
||
Not one has reproduced an exploitable crash with this besides Alex and Simon -- time to unhide the bug and resolve WORKDSFORME? In comment 55 simon mentioned the original crash may no longer happen for him as of 3.6.11, maybe fixed by something in the following? https://bugzilla.mozilla.org/buglist.cgi?quicksearch=ALL%20status1.9.2%3A.11-fixed
Updated•13 years ago
|
Crash Signature: [@ LiteralImpl::Create]
Comment 62•13 years ago
|
||
closing per comment 61
Group: core-security
Status: REOPENED → RESOLVED
Closed: 14 years ago → 13 years ago
Resolution: --- → WORKSFORME
You need to log in
before you can comment on or make changes to this bug.
Description
•