首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2007-02)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Microsoft Windows 动画图标文件栈溢出漏洞

发布日期:2007-04-02


受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista

综述:
======
Microsoft Windows在处理畸形的动画图标文件时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。微软已经发布了安全公告MS07-017来修补这一漏洞,请Windows用户尽快安装升级补丁。

分析:
======
Microsoft Windows 的user32.dll中用于处理动画光标的LoadAniIcon()函数没有正确的验证动画光标文件中所提供动画光标文件头的大小,存在栈溢出漏洞。

该函数可能在很多场合被调用。例如,WEB站点可能使用动画光标文件指定鼠标指针停留在超级链接上时所应使用的图标,资源管理器在打开包含动画光标文件的文件夹时会解析该文件的内容作为文件图标。也就是说,入侵者可以通过在网页中插入恶意代码,或者发送恶意邮件,或者将动画光标文件拷贝到共享目录等方式来进行入侵。

值得注意的是,资源管理器在遇到.ani、.cur或.ico等扩展名时会试图调用LoadAniIcon()函数进行解析,其它扩展名则不会,但是在网页中插入恶意动画光标时,光标文件的扩展名则没有限制,譬如.jpg。

该漏洞的影响范围十分广泛,涵盖了Windows 2000/XP/2003/Vista的所有版本,并且可以由多种途径触发,导致执行任意指令,所以威胁非常大。目前国内已经有入侵者利用该漏洞进行“网站挂马”。

解决方法:
==========
厂商补丁:

微软已经发布了MS07-017来修复这一漏洞,您可以根据您的操作系统手工下载并安装相关补丁:
http://www.microsoft.com/technet/Security/bulletin/ms07-017.mspx

您也可以通过微软的自动更新("Windows update")功能来自动安装相关补丁。

临时解决方案:

如果您不能立刻安装补丁,NSFOCUS建议您采取以下措施以降低威胁:

1、以文本方式而不是HTML方式打开邮件。这可以避免被入侵者通过发送邮件的方式进行攻击。

2、经过测试,FireFox和Opera浏览器并不支持ANI文件,所以使用这两种浏览器是安全的。但是其它基于IE内核的浏览器都会受该漏洞的影响,包括FireFox的IE Tab插件。由于即使是那些本身合法的站点也可能因为被入侵而插入恶意代码,所以我们建议在微软发布安全补丁之前,无论访问什么站点,都应尽可能使用FireFox或Opera浏览器,而不要使用IE或者任何基于IE内核的浏览器。

3、打开资源浏览器的“工具->文件夹选项”菜单,在“Web 视图”中选择“使用Windows传统风格的文件夹”。这个配置可以避免在资源浏览器中打开包含恶意动画光标文件而导致的入侵

4、如果您的操作系统是Windows XP/2003/Vista,请参考下面这个链接,将DEP配置为“为除下列选定程序之外的所有程序和服务启用 DEP”:
http://www.microsoft.com/china/technet/security/prodtech/windowsxp/depcnfxp.mspx
这并不能消除漏洞,但是可以大大降低因为该漏洞而被入侵的风险。

附加信息:
==========
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
http://www.microsoft.com/technet/security/advisory/935423.mspx
http://www.kb.cert.org/vuls/id/191609
http://www.nsfocus.net/index.php?act=alert&do=view&aid=75

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技