GDI+漏洞介紹
近日,微軟爆出有史以來最大的安全漏洞。通過該漏洞,攻擊者可以將木馬藏於圖片中,網民無論是通過瀏覽器瀏覽、還是用各種看圖軟體打開、或者在即時聊天視窗、電子郵件、Office文檔里查看這些圖片,只要看了就會中招!哪怕只是看了一個QQ表情!其危害程度遠遠超過以往微軟公布過的任何安全漏洞。
據安全專家介紹,此次微軟爆出的GDI+圖片漏洞非常嚴重,有點類似以前的“游標漏洞”和“wmf漏洞”,但涉及的圖片格式更多,包括bmp、wmf、gif、emf、vml等,因此漏洞涉及面廣,影響網民數眾多,危害程度特別巨大,堪稱“微軟有史以來最大的安全漏洞”。
對於該漏洞黑客可以通過在網路上掛馬、BBS社區中上傳圖片、QQ等聊天工具中傳送圖片或者表情來利用,一旦機器上有漏洞的用戶看到該圖片就會執行黑客指定的任意代碼,比如下載執行木馬、格式化硬碟等。由於很多第三方軟體也含有該漏洞,所以簡單的為系統打上補丁並不能徹底補上該漏洞,因此我們建議大家使用超級巡警GDI+漏洞(MS08-052)修復程式來進行漏洞修補。目前已有黑客開始注意該漏洞並研究利用方法。
存在GDI+漏洞的檔案
檔案名稱稱:gdiplus.dll
檔案版本:5.1.3102.2180
檔案名稱稱:VGX.dll
檔案路徑:%CommonProgramFiles%Microsoft SharedVGX
檔案版本: 7.00.6000.20628
7.00.6000.16386
6.00.2900.3051
6.00.2900.2997
漏洞相關描述
GDI+ VML 緩衝區溢出漏洞 - CVE-2007-5348
GDI+ 處理漸變大小的方式中存在一個遠程執行代碼漏洞。 如果用戶瀏覽包含特製內容的網站,該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
GDI+ EMF 記憶體損壞漏洞 - CVE-2008-3012
GDI+ 處理記憶體分配的方式中存在一個遠程執行代碼漏洞。 如果用戶打開特製的 EMF 圖像檔案或瀏覽包含特製內容的網站,則此漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
GDI+ GIF 分析漏洞 - CVE-2008-3013
GDI+ 分析 GIF 圖像的方式中存在一個遠程執行代碼漏洞。 如果用戶打開特製的 GIF 圖像檔案或瀏覽包含特製內容的網站,則此漏洞可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建新帳戶。
GDI+ WMF 緩衝區溢出漏洞 - CVE-2008-3014
GDI+ 為 WMF 圖像檔案分配記憶體的方式中存在一個遠程執行代碼漏洞。 如果用戶打開特製的 WMF 圖像檔案或瀏覽包含特製內容的網站,則此漏洞可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
GDI+ BMP 整數溢出漏洞 - CVE-2008-3015
GDI+ 處理整數計算的方式中存在一個遠程執行代碼漏洞。 如果用戶打開特製的 BMP 圖像檔案,該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
GDI+漏洞的影響
受此漏洞影響,幾乎所有瀏覽器、即時聊天工具、Office程式以及看圖軟體等第三方軟體都可能成為木馬傳播的渠道。網民即便沒有點擊運行任何程式,只要瀏覽了BBS、部落格、電子郵件或即時聊天視窗裡帶木馬的圖片,就會立即中招。一旦網民查看了這些帶木馬的圖片,或瀏覽了帶木馬圖片的網站,攻擊者就能利用這一GDI+圖片漏洞遠程執行代碼和安裝程式,隨意查看、更改或刪除用戶的電腦數據,或者創建能完全訪問用戶電腦的新帳戶。也就是說,攻擊者可以利用該漏洞完全控制住你的電腦!
漏洞影響:
Microsoft產品中所使用的GDI+庫(GdiPlus.dll)通過基於類的API提供對各種圖形方式的訪問。
GDI+庫在解析特製的BMP檔案時存在整數溢出漏洞,如果檔案中包含有畸形的BitMapInfoHeader的話,就會導致錯誤的整數計算,最終觸發可利用的記憶體破壞。成功利用此漏洞的攻擊者可完全控制受影響的系統。如果用戶使用受影響的軟體查看特製圖像檔案或瀏覽包含特製內容的網站,則這些漏洞可能允許遠程執行代碼。
攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
受影響的圖片格式:
此次gdi+漏洞非常嚴重,類似以前的游標漏洞和wmf漏洞,涉及的格式更廣(bmp\wmf\gif\emf\vml)
漏洞影響的系統和軟體:
微軟作業系統:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2008
Microsoft Windows Storage Server 2003
Microsoft Windows Vista
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
微軟軟體:
Microsoft .NET Framework 1.x
Microsoft .NET Framework 2.x
Microsoft Digital Image 2006 11.x
Microsoft Forefront Client Security 1.x
Microsoft Internet Explorer 6.x
MICROSOFT OFFICE 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft Office Excel Viewer
Microsoft Office Excel Viewer 2003
Microsoft Office PowerPoint Viewer 2003
Microsoft Office PowerPoint Viewer 2007
Microsoft Office Project 2002
Microsoft Office Word Viewer
Microsoft Office XP
Microsoft Platform SDK Redistributable: GDI+
Microsoft Report Viewer 2005
Microsoft Report Viewer 2008
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Compact Edition 3.x
Microsoft SQL Server 2005 Express Edition
Microsoft Visio 2002
Microsoft Visio 2003 Viewer
Microsoft Visio 2007 Viewer
Microsoft Visual FoxPro 8.x
Microsoft Visual FoxPro 9.x
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2008
Microsoft Word Viewer 2003
Microsoft Works 8.x
SQL Server 2000 reporting services
其他引用了含有漏洞的GdiPlus.dll的應用程式。
GDI+漏洞答疑
1.此漏洞的影響範圍有多大?
這是一個遠程執行代碼漏洞。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。
2.造成漏洞的原因是什麼?
漏洞是由於 GDI 未正確處理特製的 EMF 或 WMF 圖像檔案中的格式錯誤的標題時緩衝區溢出造成的。
3.什麼是 GDI?
MicrosoftWindows 圖形設備接口 (GDI) 允許應用程式在視頻顯示和印表機上使用圖形和格式化文本。 基於 Windows的應用程式不直接訪問圖形硬體。 而是 GDI 代表應用程式與設備驅動程式進行互動。 有關 GDI 的詳細信息,請訪問 Windows GDI 起始頁。
4.什麼是 Windows 圖元檔案 (WMF) 和增強型圖元檔案 (EMF) 圖像格式?
WMF 圖像是一種 16 點陣圖元檔案格式,其中可以同時包含矢量信息和點陣圖信息。 它非常適合 Windows 作業系統。
EMF 圖像是一個 32 位格式,其中可以同時包含矢量信息和點陣圖信息。 此格式是對 Windows 圖元檔案格式的改進,加入了一些擴展功能。
有關圖像類型和格式的詳細信息,請參閱 Microsoft 知識庫文章 320314。有關這些檔案格式的其他信息,請訪問 MSDN 技術資源庫網站。
5.攻擊者可能利用此漏洞執行什麼操作?
成功利用此漏洞的攻擊者可以運行任意代碼。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。
6.攻擊者如何利用此漏洞?
此漏洞要求用戶打開特製圖像檔案。
在電子郵件攻擊情形中,攻擊者可以通過向用戶傳送特製的 EMF 或 WMF 圖像檔案或者其中嵌入 EMF 或 WMF 圖像檔案的 Office 文檔,並誘使用戶打開文檔或查看內含特製圖像檔案的電子郵件來利用此漏洞。
在基於 Web 的攻擊情形中,攻擊者必須擁有一個網站,其中包含用於嘗試利用此漏洞的 EMF 或 WMF 圖像檔案。另外,接受或宿主用戶提供的內容的網站以及受到破壞的網站可能包含可能利用此漏洞的特製內容。 攻擊者無法強迫用戶訪問特製的網站。相反,攻擊者必須說服用戶訪問該網站,方法通常是讓用戶單擊電子郵件或 Instant Messenger 訊息中的連結以使用戶連結到攻擊者的網站。
7.受此漏洞威脅最大的系統有哪些?
所有當前支持的 Windows 系統均受到威脅。 Windows XP Service Pack 3 不受此漏洞的影響。
8.此更新有什麼作用?
此更新通過修改 GDI 執行整數計算以阻止堆溢出的方式來消除此漏洞。
發布此安全公告時,此漏洞是否已公開披露?
否。 Microsoft 通過可靠的披露渠道了解到有關此漏洞的信息。 在最初發布此安全公告時,Microsoft 未收到任何表明此漏洞已公開披露的信息。 此安全公告解決了秘密披露的漏洞以及通過內部調查發現的其他問題。
9.在發布此安全公告時,Microsoft 是否收到任何有關此漏洞已被利用的報告?
否。 在最初發布此安全公告時,Microsoft 未收到任何表明此漏洞已被公開用於攻擊客戶的信息,也沒有看到任何發布的概念代碼證明示例。
10.我是第三方應用程式開發人員,我的應用程式使用 gdiplus.dll。 我的應用程式是否容易受到攻擊,如何進行更新?
重新分發 gdiplus.dll 的開發人員應該確保他們通過下載本公告中提供的更新來更新隨其應用程式安裝的 gdiplus.dll 版本。 鼓勵開發人員按照使用共享組件的推薦最佳方案執行操作。 有關使用共享組件的最佳做法的詳細信息,請參閱關於獨立應用程式的 Microsoft 知識庫文章 835322。
11.我正在開發包含可重新分發檔案 gdiplus.dll 的軟體。應該怎樣做?
您應該為您的開發軟體安裝本公告中提供的安全更新。 如果已經隨您的應用程式重新分發了 gdiplus.dll,您應該使用為您的開發軟體下載此安全更新時獲得的此檔案更新版本向您的客戶發布您的應用程式的更新版本。
12.如果第三方應用程式使用或安裝受影響的 gdiplus.dll 組件,那么安裝所有需要的 Microsoft 安全更新之後是否仍然容易受到攻擊?
否,此安全更新替換並重新註冊隨作業系統提供的受影響的組件。 如果第三方應用程式遵循建議的最佳方案,即將共享組件用作並列組件,那么它們也不會受到影響。 如果第三方應用程式沒有遵循推薦的最佳方案,而是隨其應用程式一起重新分發了 gdiplus.dll 的舊版本,則客戶可能受到威脅。 Microsoft 知識庫文章 954593 也包含面向希望手動檢查已註冊的受影響 OLE 組件的說明。 鼓勵客戶聯繫第三方解決方案開發商以獲取其他信息。