绿盟科技安全研究小组在研究当中发现,微软Windows在处理畸形的动画图标文件时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。
微软 Windows 的user32.dll中用于处理动画光标的LoadAniIcon()函数没有正确的验证动画光标文件中所提供动画光标文件头的大小,存在栈溢出漏洞。该函数可能在很多场合被调用。例如,WEB站点可能使用动画光标文件指定鼠标指针停留在超级链接上时所应使用的图标,资源管理器在打开包含动画光标文件的文件夹时会解析该文件的内容作为文件图标。
也就是说,入侵者可以通过在网页中插入恶意代码,或者发送恶意邮件,或者将动画光标文件拷贝到共享目录等方式来进行入侵。更值得关注的是,资源管理器在遇到.ani、.cur或.ico等扩展名时会试图调用LoadAniIcon()函数进行解析,其它扩展名则不会,但是在网页中插入恶意动画光标时,光标文件的扩展名则没有限制,譬如.jpg。
该漏洞的影响范围十分广泛,涵盖了Windows 2000/XP/2003/Vista的所有版本,并且可以由多种途径触发,导致执行任意指令,所以威胁非常大。而且,目前国内已经有入侵者利用该漏洞进行“网站挂马”,在大量用户机器中植入恶意代码,远程控制用户系统。
在微软推出相应安全补丁之前,绿盟科技安全专家建议采取如下措施减轻安全威胁:
1、以文本方式而不是HTML方式打开邮件。这可以避免被入侵者通过发送邮件的方式进行攻击。
2、和以往的很多漏洞不同,这个漏洞也可能影响FireFox和Opera等浏览器。使用这些第三方浏览器可以降低被攻击的可能,但并不能绝对避免攻击。所以建议在微软发布安全补丁之前,尽可能减少使用任何浏览器访问网站。即使是那些合法的站点也可能因为被入侵而插入恶意代码。在必须访问的时候,应尽可能使用FireFox或Opera等浏览器。
3、打开资源浏览器的“工具->文件夹选项”菜单,在“Web 视图”中选择“使用Windows 传统风格的文件夹”。这个配置可以避免在资源浏览器中打开包含恶意动画光标文件而导致的危害。
4、如果您的操作系统是Windows XP/2003/Vista,请参考下面这个链接,将DEP配置为“为除下列选定程序之外的所有程序和服务启用 DEP”:
http://www.microsoft.com/china/technet/security/prodtech/windowsxp/depcnfxp.mspx。
虽然以上的措施不能消除漏洞,但是可以大大降低因为该漏洞而被入侵的风险。
