首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2007-02)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Microsoft Windows 動畫圖標文件棧溢出漏洞

發布日期:2007-04-02


受影響的軟件及系統:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista

綜述:
======
Microsoft Windows在處理畸形的動畫圖標文件時存在緩沖區溢出漏洞,遠程攻擊者可能利用此漏洞控制用戶機器。微軟已經發布了安全公告MS07-017來修補這一漏洞,請Windows用戶盡快安裝升級補丁。

分析:
======
Microsoft Windows 的user32.dll中用于處理動畫光標的LoadAniIcon()函數沒有正確的驗證動畫光標文件中所提供動畫光標文件頭的大小,存在棧溢出漏洞。

該函數可能在很多場合被調用。例如,WEB站點可能使用動畫光標文件指定鼠標指針停留在超級鏈接上時所應使用的圖標,資源管理器在打開包含動畫光標文件的文件夾時會解析該文件的內容作為文件圖標。也就是說,入侵者可以通過在網頁中插入惡意代碼,或者發送惡意郵件,或者將動畫光標文件拷貝到共享目錄等方式來進行入侵。

值得注意的是,資源管理器在遇到.ani、.cur或.ico等擴展名時會試圖調用LoadAniIcon()函數進行解析,其它擴展名則不會,但是在網頁中插入惡意動畫光標時,光標文件的擴展名則沒有限制,譬如.jpg。

該漏洞的影響范圍十分廣泛,涵蓋了Windows 2000/XP/2003/Vista的所有版本,并且可以由多種途徑觸發,導致執行任意指令,所以威脅非常大。目前國內已經有入侵者利用該漏洞進行“網站掛馬”。

解決方法:
==========
廠商補丁:

微軟已經發布了MS07-017來修復這一漏洞,您可以根據您的操作系統手工下載并安裝相關補丁:
http://www.microsoft.com/technet/Security/bulletin/ms07-017.mspx

您也可以通過微軟的自動更新("Windows update")功能來自動安裝相關補丁。

臨時解決方案:

如果您不能立刻安裝補丁,NSFOCUS建議您采取以下措施以降低威脅:

1、以文本方式而不是HTML方式打開郵件。這可以避免被入侵者通過發送郵件的方式進行攻擊。

2、經過測試,FireFox和Opera瀏覽器并不支持ANI文件,所以使用這兩種瀏覽器是安全的。但是其它基于IE內核的瀏覽器都會受該漏洞的影響,包括FireFox的IE Tab插件。由于即使是那些本身合法的站點也可能因為被入侵而插入惡意代碼,所以我們建議在微軟發布安全補丁之前,無論訪問什么站點,都應盡可能使用FireFox或Opera瀏覽器,而不要使用IE或者任何基于IE內核的瀏覽器。

3、打開資源瀏覽器的“工具->文件夾選項”菜單,在“Web 視圖”中選擇“使用Windows傳統風格的文件夾”。這個配置可以避免在資源瀏覽器中打開包含惡意動畫光標文件而導致的入侵

4、如果您的操作系統是Windows XP/2003/Vista,請參考下面這個鏈接,將DEP配置為“為除下列選定程序之外的所有程序和服務啟用 DEP”:
http://www.microsoft.com/china/technet/security/prodtech/windowsxp/depcnfxp.mspx
這并不能消除漏洞,但是可以大大降低因為該漏洞而被入侵的風險。

附加信息:
==========
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
http://www.microsoft.com/technet/security/advisory/935423.mspx
http://www.kb.cert.org/vuls/id/191609
http://www.258434.live/index.php?act=alert&do=view&aid=75

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
海南七星彩彩票官网