概況
關於drwtsn32.exe錯誤問題
簡言之既是:drwtsn32.exe故障轉儲檔案默認許可權設定不當,可能導致敏感信息泄漏。
影響系統:
當前所有Windows版本
詳細
註冊表項:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]下的Debugger 項的值指定了調試器及使用的命令;Auto 項決定是否自動診斷錯誤,並記錄相應的診斷信息。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
在Windows 2000中drwtsn32.exe默認會將故障轉儲檔案user.dmp存放在目錄“\Documents and Settings\All Users\Documents\DrWatson”下。許可權為Everyone 完全控制。在Windows NT中被存儲在“\WINNT\”中,everyone組至少有讀取許可權。
由於user.dmp中存儲的內容是當前用戶的部分記憶體鏡像,所以可能導致各種敏感信息泄漏,例如帳號、口令、郵件、瀏覽過的網頁、正在編輯的檔案等等,具體取決於崩潰的應用程式和在此之前用戶進行了那些操作。
因為Windows程式是如此易於崩潰,所以不能排除惡意用戶利用此弱點獲取非授權信息的可能。例如:利用IE5.0以上的畸形注釋漏洞就可以使瀏覽包含惡意代碼的iexplore.exe 和查看包含惡意代碼的郵件程式崩潰.
解決方案
採取以下任一措施皆可解決此問題:
1、鍵入不帶參數的drwtsn32,更改故障轉儲檔案到一個特權路徑,如:\Documents and Settings\Administrator\DrWatson\ 或取消“建立故障轉儲檔案”選項。
2、刪除註冊表項
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug] 下的相關鍵值。
3、使用其它調試工具。並在註冊表中正確設定。
鍵入不帶參數的drwtsn32,即在開始→運行→鍵入drwtsn32→回車,在打開的視窗中,取消“創建故障轉儲檔案”選項這。
