首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2005-10)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Windows GDI32.DLL WMF 渲染引擎代碼執行漏洞

發布日期:2005-12-30


受影響的軟件及系統:
====================
Windows 2000
Windows XP
Windows 2003

綜述:
======
有人利用了一個微軟尚未發布補丁的漏洞在互聯網上傳播惡意代碼。該漏洞影響幾乎所有Windows用戶。

目前發現對該漏洞利用主要是安裝廣告軟件(AdWare),但隨著漏洞的進一步的披露,很可能會有相應的入侵事件出現。

分析:
======
WMF(Windows Metafile)文件是微軟的一種圖像文件格式,解析該圖像的代碼在GDI32.DLL文件中。

WMF解析引擎在處理特殊的WMF文件時存在嚴重安全問題,可以導致圖像文件中的數據被當作代碼來執行。這漏洞的通用性很強,可以構造出對各版本Windows系統都可以有效利用的代碼。

無論是IE、FireFox、Opera等網絡瀏覽器,還是Windows的資源瀏覽器或者其他圖片處理軟件,只要最終可以導致用戶調用GDI32.DLL中的PlayMetaFile()函數來處理WMF文件,都會受該問題影響。所以這個漏洞的涉及范圍非常廣。
    
對于Windows 2000,需要用相關聯的程序打開惡意WMF文件才會觸發漏洞,對于Windows XP和Windows 2003,則只需將鼠標移動到文件上,即可觸發漏洞。

入侵者可能將構造的惡意WMF文件放在網站上,誘使用戶打開包含對該文件調用的網頁;或者將惡意WMF文件通過郵件、聊天軟件、P2P等途徑發送給用戶。

解決方法:
==========
由于該漏洞目前尚無補丁,NSFOCUS安全小組建議用戶在微軟發布補丁之前將WMF文件的關聯指向空,并解除資源瀏覽器等對WMF格式的支持,以減輕安全威脅。具體操作如下:

打開命令提示符,在其中輸入:
    ASSOC .wmf=""
    ASSOC .emf=""
    regsvr32 /u shimgvw.dll

執行上述操作后,Windows XP和Windows 2003的“Windows 圖片和傳真查看器”將不再工作,并且資源管理器也不會再進行有關WMF文件的解析,即使安裝了其他看圖軟件,在資源瀏覽器中雙擊也不會正常工作。但是如果直接用看圖軟件去打開惡意的WMF文件仍然會觸發漏洞。

如果要恢復系統上述操作,只需輸入:
    ASSOC .wmf=wmffile
    ASSOC .emf=emffile
    regsvr32 shimgvw.dll

附加信息:
==========
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
海南七星彩彩票官网