漏洞相关信息
一、专题导读
微软在本月月度更新中,介绍了一个关于GDI+的漏洞(MS08-052)。该漏洞将影响常见的图片文件格式GIF、EMF、WMF、VML、BMP,也就是说机器上有该漏洞的系统一旦打开(甚至不需要用户打开,只要程序解析该文件)包含有漏洞的利用代码的文件就会执行其中的任意代码。对于该漏洞黑客可以通过在网络上挂马、BBS社区中上传图片、QQ等聊天工具中发送图片或者表情来利用,一旦机器上有漏洞的用户看到该图片就会执行黑客指定的任意代码,比如下载执行木马、格式化硬盘等。由于很多第三方软件也含有该漏洞,所以简单的为系统打上补丁并不能彻底补上该漏洞,因此我们建议大家使用超级巡警GDI+漏洞(MS08-052)修复程序来进行补丁修复。目前已有黑客开始注意该漏洞并研究利用方法,超级巡警团队也会在最近一段时间内跟踪该漏洞并提供相应解决方案。
二、漏洞相关信息
1、什么是GDI、GDI+和VML?
GDI是Graphics Device Interface的缩写,含义是图形设备接口,它的主要任务是负责系统与绘图程序之间的信息交换,处理所有Windows程序的图形输出,主要负责在显示屏幕和打印设备输出有关信息。在 Windows操作系统下,绝大多数具备图形界面的应用程序都离不开GDI,我们利用GDI所提供的众多函数就可以方便的在屏幕、打印机及其它输出设备上输出图形,文本等操作。GDI的出现使程序员无需要关心硬件设备及设备驱动,就可以将应用程序的输出转化为硬件设备上的输出,实现了程序开发者与硬件设备的隔离,大大方便了开发工作。
顾名思义,GDI+是以前版本GDI的继承者,出于兼容性考虑,Windows XP仍然支持以前版本的GDI,但是在开发新应用程序的时候,开发人员为了满足图形输出需要应该使用GDI+,因为GDI+对以前的Windows版本中GDI进行了优化,并添加了许多新的功能。
矢量标记语言 (VML) 是一种基于 XML 的交换、编辑和交付格式,用于 Web 上高质量矢量图像,以便满足生产力用户和图形设计专业人员的需要。 XML 是一种简单、灵活和基于开放文本的语言,是 HTML 的补充。系统会通过调用VGX.dll中函数操作VML。
2、存在漏洞的文件
文件名称:GdiPlus.dll
文件版本:5.1.3102.2180
文件名称:VGX.dll
文件路径:%CommonProgramFiles%Microsoft SharedVGX
文件版本: 7.00.6000.20628
7.00.6000.16386
6.00.2900.3051
6.00.2900.2997
漏洞相关描述
3、漏洞相关描述
GDI+ VML 缓冲区溢出漏洞 - CVE-2007-5348
GDI+ 处理渐变大小的方式中存在一个远程执行代码漏洞。 如果用户浏览包含特制内容的网站,该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
GDI+ EMF 内存损坏漏洞 - CVE-2008-3012
GDI+ 处理内存分配的方式中存在一个远程执行代码漏洞。 如果用户打开特制的 EMF 图像文件或浏览包含特制内容的网站,则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
GDI+ GIF 分析漏洞 - CVE-2008-3013
GDI+ 分析 GIF 图像的方式中存在一个远程执行代码漏洞。 如果用户打开特制的 GIF 图像文件或浏览包含特制内容的网站,则此漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。
GDI+ WMF 缓冲区溢出漏洞 - CVE-2008-3014
GDI+ 为 WMF 图像文件分配内存的方式中存在一个远程执行代码漏洞。 如果用户打开特制的 WMF 图像文件或浏览包含特制内容的网站,则此漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
GDI+ BMP 整数溢出漏洞 - CVE-2008-3015
GDI+ 处理整数计算的方式中存在一个远程执行代码漏洞。 如果用户打开特制的 BMP 图像文件,该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
关于该漏洞更详细的分析请访问以下网址:
http://www.nsfocus.net/vulndb/12371
http://www.nsfocus.net/vulndb/12370
http://www.nsfocus.net/vulndb/12369
http://www.nsfocus.net/vulndb/12368
http://www.nsfocus.net/vulndb/12367
处理WMF文件缓冲区溢出代码分析:
http://marc.info/?l=full-disclosure&m=122109742720458&q=p3
漏洞影响的系统和软件
4、漏洞影响的系统和软件:
微软操作系统:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2008
Microsoft Windows Storage Server 2003
Microsoft Windows Vista
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
微软软件:
Microsoft .NET Framework 1.x
Microsoft .NET Framework 2.x
Microsoft Digital Image 2006 11.x
Microsoft Forefront Client Security 1.x
Microsoft Internet Explorer 6.x
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft Office Excel Viewer
Microsoft Office Excel Viewer 2003
Microsoft Office PowerPoint Viewer 2003
Microsoft Office PowerPoint Viewer 2007
Microsoft Office Project 2002
Microsoft Office Word Viewer
Microsoft Office XP
Microsoft Platform SDK Redistributable: GDI+
Microsoft Report Viewer 2005
Microsoft Report Viewer 2008
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Compact Edition 3.x
Microsoft SQL Server 2005 Express Edition
Microsoft Visio 2002
Microsoft Visio 2003 Viewer
Microsoft Visio 2007 Viewer
Microsoft Visual FoxPro 8.x
Microsoft Visual FoxPro 9.x
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2008
Microsoft Word Viewer 2003
Microsoft Works 8.x
SQL Server 2000 Reporting Services
其他引用了含有漏洞的GdiPlus.dll的应用程序。
解决方案
三、解决方案
1、使用超级巡警GDI+漏洞专用修复工具尽快为系统打上补丁。
2、建议安装畅游巡警来应对可能由此而来的挂马事件。
巡警修复补丁下载地址:http://cy.sucop.com/GdiFix.zip
畅游巡警下载地址:http://download.pchome.net/internet/safe/detail-87380.html
四、相关问题
1、我是第三方应用程序开发人员,我的应用程序使用 gdiplus.dll。 我的应用程序是否容易受到攻击,如何进行更新?
重新分发 gdiplus.dll 的开发人员应该确保他们通过下载本公告中提供的更新来更新随其应用程序安装的 gdiplus.dll 版本。鼓励开发人员按照使用共享组件的推荐最佳方案执行操作。 有关使用共享组件的最佳做法的详细信息,请参阅关于独立应用程序的 Microsoft 知识库文章 835322。
2、我正在开发包含可重新分发文件 gdiplus.dll 的软件。应该怎样做?
您应该为您的开发软件安装本公告中提供的安全更新。 如果已经随您的应用程序重新分发了 gdiplus.dll,您应该使用为您的开发软件下载此安全更新时获得的此文件更新版本向您的客户发布您的应用程序的更新版本。
3、如果第三方应用程序使用或安装受影响的 gdiplus.dll 组件,那么安装所有需要的 Microsoft 安全更新之后是否仍然容易受到攻击?
否,此安全更新替换并重新注册随操作系统提供的受影响的组件。如果第三方应用程序遵循建议的最佳方案,即将共享组件用作并列组件,那么它们也不会受到影响。如果第三方应用程序没有遵循推荐的最佳方案,而是随其应用程序一起重新分发了 gdiplus.dll 的旧版本,则客户可能受到威胁。 Microsoft 知识库文章 954593 也包含面向希望手动检查已注册的受影响 OLE 组件的说明。 鼓励客户联系第三方解决方案开发商以获取其他信息。
网友评论