轉貼
解救廣大鄉民,艾克索夫推出ani 0-day advisory (935423)緊急修補程式
星期日 1 四月 2007 @ 1:52 pm
這個漏洞影響真是超大,才發現沒多久,就已經災情慘重,哀號遍野了,連利用此漏洞的複合式蠕蟲都已經出現了,預計大魔王這幾天應該就會現身:D
為了協助廣大鄉民對抗大魔王,艾克索夫團隊連夜趕製神兵利器
有這麼嚴重嗎? 為什麼?
(1)弱點觸發的地方是關鍵。
(2)微軟還未推出修補檔。
(3)是個遠端可任意執行程式碼的弱點,這種弱點安全公司通常都列為極端嚴重。
弱點觸發說明:
(1)因為Windows系統檔user32.dll裡面有個載入圖像的api叫作LoadImage,沒有檢查載入的滑鼠游標檔檔頭大小,
並且直接把游標檔檔頭資料複製到系統堆疊,因為沒有檢查檔頭大小,攻擊者設計異常(過大)的檔頭資料,結果就把堆疊覆蓋了>.< 使得程式流程被帶到攻擊者預先設計好的程 式碼中,可以隨心所欲的下載木馬、後門等Spyware。
(2)另外此弱點不是發生在某個特定程式,如iexplorer.exe等,而是發生在系統檔案user32.dll.只要有用到LoadImage載入的通殺!!
有鑑於此,我們在微軟還未推出修補檔前,提供使用者一個」自保方案」.將我們的修補檔下載回去後,執行並選擇"安裝緊急修補程式",重開機後生效!
這樣只要有人試圖利用此漏洞入侵您,我們就會發出警告視窗如下圖:
緊急修補程式下載位址(繁體中文版)---http://x-solve.com/Products/Advisory/935423/PatchAni.zip
ps.另外我們的修補方式與eEye的不同,他們的實作方式是禁止任何windows系統目錄以外的游標檔載入,但是這樣不是很通用
(除了系統目錄外也會有游標),
我們會檢查開啟的游標檔是否為異常,正常的我們還是會給開,而不是限制某個目錄或是檔名。