发布日期：2010-02-09
更新日期：2010-02-16

受影响系统：

Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows 2000SP4

描述：

---

BUGTRAQ  ID: 38098
CVE ID: CVE-2010-0023

Microsoft Windows是微软发布的非常流行的操作系统。

当用户注销时Windows客户端/服务器运行时环境子系统（CSRSS）没有正确的终止用户进程，这可能允许本地用户以其他用户的权限执行任意代码。

如果要利用这个漏洞，攻击者首先要登录到系统，之后启动在注销后仍可继续运行的应用程序。当新的用户以自己的凭据登录后，攻击者的进程就可以监控新登录用户所执行的所有操作。如果该用户为管理员，攻击者就可以利用监控到的信息进一步入侵系统。

<*来源：Matthew Jurczyk
        Gynvael Coldwind
  
  链接：http://secunia.com/advisories/23448/
        http://www.microsoft.com/technet/security/Bulletin/MS10-011.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA10-040A.html
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS10-011）以及相应补丁:
MS10-011：Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (978037)
链接：http://www.microsoft.com/technet/security/Bulletin/MS10-011.mspx?pf=true

浏览次数：3130
严重程度：0（网友投票）