文章出处
http://www.us-cert.gov/cas/t...05-362A.html http://secunia.com/a...s/18255/ http://www.microsoft.com/technet/s...n/MS06-001.mspx http://www.frsirt.com/engli...s/2005/3086微软视窗处理 Metafile 档案的漏洞处理 Windows Metafile (WMF) 图像的方式导致图像编译引擎有远端程式执行漏洞,攻击者可以透过制造特制的 WMF 图像,利用这个漏洞。如果使用者浏览恶意的网站或开启电邮内特制的附件,这可以允许远端程式码执行。成功利用这漏洞的攻击者可以取得受影响系统的完整控制权。
影响
远端执行程式码
受影响之系统
微软视窗 2000 Service Pack 4
微软视窗 XP Service Pack 1及微软视窗 XP Service Pack 2
微软视窗 XP 专业版 x64 Edition
微软视窗伺服器 2003 及微软视窗伺服器 2003 Service Pack 1
微软视窗伺服器 2003 for Itanium-based Systems 及微软视窗伺服器 2003 with SP1 for Itanium-based Systems
微软视窗 98, 微软视窗 98 第二版 (SE)及微软视窗千禧版 (ME)
微软视窗伺服器 2003 x64 Edition
解决方案
请于安装修补程式前浏览软件供应商之网页,以获得更详尽资料。
请在这里下载修补程式
微软视窗 2000 Service Pack 4
微软视窗 XP Service Pack 1 及微软视窗 XP Service Pack 2
微软视窗XP Professional x64 Edition
微软视窗伺服器 2003 及微软视窗伺服器 2003 Service Pack 1
微软视窗伺服器 2003 for Itanium-based Systems 及微软视窗伺服器 2003 with SP1 for Itanium-based Systems
微软视窗伺服器 2003 x64 Edition
注意: 微软视窗 98, 微软视窗 98 第二版 (SE) 及微软视窗千禧版视窗 (ME)的修补程式还未准备好供下载,暂时请考虑微软提供的缓和措施:
http://www.microsoft.com/technet/s...n/MS06-001.mspx 临时处理方案
在微软视窗 XP Service Pack 1、微软视窗 XP Service Pack 2、微软伺服器2003和微软伺服器2003 Service Pack 1 解除登录「视窗图片和传真检视器」(Shimgvw.dll)
微软已经测试了以下的临时处理方案,虽然临时处理方案不能修正漏洞,但是可以帮助阻截已知的攻击方式。在下面部份有临时处理方案的影响。
注意:这个临时处理方案是帮助保护对抗以网页为基础的攻击方式,不能对抗在 Word 文件嵌入 Windows Metafile 图像的攻击和其他类似的攻击方式。
注意:以下步骤需要管理员权限,我们建议在采用这个临时处理方案后,重新启动电脑,或者登出然后再登入。但是,我们建议重新启动电脑。
请依照以下步骤解除登录 Shimgvw.dll:
1. 按「开始」,再按「执行」,然后输入 "regsvr32 -u %windir%\system32\shimgvw.dll" (没有引号),然后按「确定」。
2. 当出现对话盒确定程序已经成功,按「确定」。
临时处理方案的影响:当使用者按一个连结到与视窗图片和传真检视器相关的图像类型,视窗图片和传真检视器不会启动。
安装保安更新后,若要取消临时处理方案,请重新登录 Shimgvw.dll。可使用步骤 1 的方法,但要输入 "regsvr32 %windir%\system32\shimgvw.dll" (没有引号)。
请留意如果只是过滤含有 WMF 档案延伸名称或 application/x-msMetafile 类型的 MIME应用程式是不能完全禁止所有已知的漏洞攻击方式。过滤机制应该要寻找所有可以用来辨别视窗 Metafile 档案的标头特征。
