发布日期：2008-12-09
更新日期：2008-12-11

受影响系统：

Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008

描述：

---

BUGTRAQ  ID: 32652
CVE(CAN) ID: CVE-2008-4269

Microsoft Windows是微软发布的非常流行的操作系统。

Windows资源管理器在解析search-ms协议时没有正确地处理参数，如果用户访问了恶意站点并通过特殊方式调用了search-ms协议处理器的话，就可能导致执行任意代码。

<*来源：Nate Mcfeters （nate.mcfeters@gmail）
  
  链接：http://blogs.technet.com/swi/archive/2008/12/09/ms08-075-reducing-attack-surface-by-turning-off-protocol-handlers.aspx
        http://secunia.com/advisories/33053/
        http://www.microsoft.com/technet/security/Bulletin/ms08-075.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA08-344A.html
*>

建议：

---

临时解决方法：

* 在Windows资源管理器中禁用search-ms协议处理程序。

使用交互方法
    
1. 单击“开始”，单击“运行”，在“打开”框中键入“regedit”（不带引号），然后单击“确定”。
2. 找到并展开下列注册表子项：\search-ms\shell\open.
3. 单击Command。
4. 单击“文件”菜单并选择“导出”。
5. 在“导出注册表文件”对话框中，输入“Search-ms_pluggable_protocol_registry_backup.reg”，然后单击“保存”。
6. 通过双击编辑（默认）注册表值。从“数值数据:” 字段中清除所有数据。
7. 单击“确定”。
    
使用被管理的部署脚本
    
1. 使用包含以下命令的托管部署脚本创建注册表项的备份副本：
regedit /e Search-ms_pluggable_protocol_registry_backup.reg HKEY_CLASSES_ROOT\search-ms\shell\open\command.
    
2. 接下来，将下列内容保存到扩展名为.REG的文件，例如"Disable_search-ms_pluggable_protocol.reg":

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\search-ms\shell\open\command]
@=""
    
3. 在目标计算机上的提升命令提示符处，使用下列命令运行以上注册表脚本：
Regedit.exe /s Disable_ search-ms_pluggable_protocol.reg

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-075）以及相应补丁:
MS08-075：Vulnerabilities in Windows Search Could Allow Remote Code Execution (959349)
链接：http://www.microsoft.com/technet/security/Bulletin/ms08-075.mspx?pf=true

浏览次数：3112
严重程度：0（网友投票）