转贴
解救广大乡民,艾克索夫推出ani 0-day advisory (935423)紧急修补程式
星期日 1 四月 2007 @ 1:52 pm
这个漏洞影响真是超大,才发现没多久,就已经灾情惨重,哀号遍野了,连利用此漏洞的复合式蠕虫都已经出现了,预计大魔王这几天应该就会现身:D
为了协助广大乡民对抗大魔王,艾克索夫团队连夜赶制神兵利器
有这么严重吗? 为什么?
(1)弱点触发的地方是关键。
(2)微软还未推出修补档。
(3)是个远端可任意执行程式码的弱点,这种弱点安全公司通常都列为极端严重。
弱点触发说明:
(1)因为Windows系统档user32.dll里面有个载入图像的api叫作LoadImage,没有检查载入的滑鼠游标档档头大小,
并且直接把游标档档头资料复制到系统堆叠,因为没有检查档头大小,攻击者设计异常(过大)的档头资料,结果就把堆叠覆盖了>.< 使得程式流程被带到攻击者预先设计好的程 式码中,可以随心所欲的下载木马、后门等Spyware。
(2)另外此弱点不是发生在某个特定程式,如iexplorer.exe等,而是发生在系统档案user32.dll.只要有用到LoadImage载入的通杀!!
有鉴于此,我们在微软还未推出修补档前,提供使用者一个」自保方案」.将我们的修补档下载回去后,执行并选择"安装紧急修补程式",重开机后生效!
这样只要有人试图利用此漏洞入侵您,我们就会发出警告视窗如下图:
紧急修补程式下载位址(繁体中文版)---http://x-solve.com/Products/Advisory/935423/PatchAni.zip
ps.另外我们的修补方式与eEye的不同,他们的实作方式是禁止任何windows系统目录以外的游标档载入,但是这样不是很通用
(除了系统目录外也会有游标),
我们会检查开启的游标档是否为异常,正常的我们还是会给开,而不是限制某个目录或是档名。