您所在的位置： 首页 资料与文档	来源:CNCERT/CC 日期:2004-10-10
计算机用户如何防范JPEG漏洞利用（更新）
发布日期：2004年9月29日 最新更新：2004年10月10日 更新概要：BusinessObjects公司承认其水晶报表软件中存在JPEG漏洞，并提供修补方案。 　　微软于9月14日公布了MS04-028安全公告，指出Windows GDI+的JPEG引擎在处理特制JPEG图象时存在一个缓冲区溢出漏洞。大约一周后，网上就出现了该漏洞的利用代码。由于该漏洞涉及操作系统和应用程序非常广泛，而且其利用原理较为简单，因此，很多安全机构和厂商纷纷预测利用该漏洞的蠕虫可能即将出现。不管是何种形式的漏洞利用，计算机用户都需要高度重视这次事件，认真做好防范措施，以避免给自己和他人造成损失和危害。 漏洞描述： 　　微软Windows GDI+（图形设备接口）是一种API，可供程序员显示屏幕和打印机上的信息，还包括处理JPEG图象文件的能力。当GDI+（Gdiplus.dll）的JPEG分析引擎处理特制JPEG图象时存在一个缓冲区溢出漏洞。通过将特制的JPEG图象文件导入受影响的系统，远程攻击者能够进行缓冲区溢出攻击，执行任意代码。而特制的恶意JPEG图片会通过多种途径进入用户系统，如恶意网页、HTML的邮件或邮件附件。 受影响系统： 　　 　　微软的Windows XP、Windows XP Service Pack 1和Windows Server 2003均受到影响，其兼容应用程序如Office XP、Visio 2002、Project 2002、Office 2003、Visio 2003和Project 2003等也受到影响。因此，如果使用了上述任何操作系统和应用程序，要同时为操作系统和每一种应用程序安装补丁。 　　详细的微软受影响系统的列表，可参见： 　　http://www.cert.org.cn/articles/vulnerability/common/2004092421919.shtml 　　需要注意的是，除上之外的第三方应用程序也可能安装了受影响的组件（Gdiplus.dll）。任何使用Gdiplus.dll来处理JPEG图象文件的系统均会受到影响。至少目前已知，Macromedia受到了影响，但厂商尚未发布公告和解决方案。 　　腾讯公司的QQ受此问题影响，其已发布了最新的QQ 2004正式版SP1，该版本更新了Gdiplus.dll的版本，从而铲除了漏洞。（详见后面解决方案部分） 　　BusinessObjects已承认其水晶报表软件中存在JPEG漏洞，并提供了解决方案。（详见后面解决方案部分） 危害描述： 　　 　　成功利用此漏洞的攻击者只能获得与用户相同的权限。那些帐户被配置为拥有较少系统权限的用户比具有管理权限的用户受到的威胁要小。 　　如果用户使用管理权限登录，成功利用此漏洞的攻击者可以完全控制受影响的系统，包括安装程序、查看、更改或删除数据，或者创建拥有完全权限的新帐户。而那些帐户被配置为拥有较少系统权限的用户比具有管理权限的用户受到的威胁要小。 漏洞利用途径： 　　 　　攻击者只有通过诱使用户打开特制的文件或查看包含特制图像的目录，才能利用此漏洞。攻击者没有任何办法强迫用户打开恶意文件。 　　在基于Web的攻击中，攻击者必须拥有一个Web站点，并在上面放置用来利用此漏洞的Web页。攻击者没有任何办法强迫用户访问恶意Web站点。攻击者必须诱使用户访问该Web站点，所采用的方式通常是让用户单击指向攻击者站点的链接。 　　在基于HTML电子邮件的攻击中，攻击者可能会创建一个夹带了特制图像的HTML电子邮件。特制图像可以设计为通过Outlook 2002或Outlook Express 6利用此漏洞。攻击者会诱使用户查看或预览该HTML电子邮件。 　　另外，攻击者可能将特制图像嵌入Office文档中，然后诱使用户查看该文档。攻击者也可能将特制图像添加到本地文件系统中，或者添加到网络共享中，然后诱使用户使用Windows Explorer预览文件所在目录。 　　对于QQ用户来说，如果使用未升级的系统，攻击者只需向在线用户发送特制的JPEG图像，即可使用户中招。 防范措施： 　　一．首先采用原厂商提供的解决方案，及时安装补丁或升级系统。 　　1．微软解决方案： 　　http://www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx 　　微软提出了4个步骤指导用户进行安全更新。其步骤1、2需分别使用Windows Update和Office Update进行半自动方式的操作，这对于使用正版软件的用户来说非常便利。 　　如果您使用的是Windows XP或Windows Server 2003之外的Windows版本，步骤3提供了一个GDI+检测工具，能够协助检测系统中的其他应用程序是否包含存在漏洞的JPEG分析引擎。如果检测出结果，它会将用户定向到适当的位置下载更新。 　　步骤4是针对使用微软开发工具的用户的。 　　另外，也可以访问下面的网址来查找、下载和安装补丁。您需要确认自己使用了哪些受漏洞影响的操作系统和应用程序，然后为它们一一安装补丁，确保没有遗漏。前面已说过，如果使用了任何受影响的操作系统和应用程序，要同时为操作系统和每一种应用程序安装补丁。 　　http://www.microsoft.com/china/technet/security/bulletin/MS04-028.mspx 　　http://www.cert.org.cn/articles/vulnerability/common/2004092421919.shtml 　　2．腾讯QQ解决方案： 　　http://im.qq.com/qq/mo.shtml?/download/qq2004.shtml 　　请及时下载最新的QQ2004 SP1。 　　3．Macromedia解决方案： 　　尚无。 　　4．水晶报表软件解决方案： 　　请及时下载安装补丁。 　　Crystal Reports 10和Crystal Enterprise 10: 　　ftp://ftp1.businessobjects.com/../v10_gdiplus_critical_update.zip 　　运行环境中“ActiveXViewer.cab”文件的更新版本或使用ActiveX viewer 但未安装Crystal Reports 10和Crystal Enterprise 10的第三方应用程序: 　　ftp://ftp1.businessobjects.com/..ewer_gdiplus_critical_update.zip 　　Crystal Reports 9和Crystal Enterprise 9: 　　ftp://ftp1.businessobjects.com/../v9_gdiplus_critical_update.zip 　　更新的合并模块: 　　http://support.businessobjects.com/mergemodules 　　二．暂时禁用暂无解决方案的第三方程序或使用可替代程序 　　您可能已经安装了一个包含受影响组件的第三方程序。如果Gdiplus.dll文件安装在系统上，则必须为此程序进行安全更新。由于可能不使用Gdiplus.dll文件来处理JPEG图像，因此不是安装此文件的每一程序都容易受到影响。但是，只有此程序的制造商能作出确定。这可能包括使用Visual Studio .NET 2002、Visual Studio .NET 2003或Microsoft .NET Framework 1.0 SDK Service Pack 2开发的第三方应用程序。 　　在Windows XP或Windows Server 2003上，开发人员或管理员不可能迫使程序绕过容易受到攻击的操作系统组件，取而代之使用他们提供的版本。如果第三方应用程序制造商核实其程序使用这一绕过功能，对于程序的更新版本，您可能需要考虑联系第三方应用程序制造商。 　　因此，如果第三方应用程序制造商尚未给出解决方案，建议用户暂时禁用这些程序或考虑替代程序。 　　三．采取可行的变通办法 　　1．拦截已知的攻击媒介： 　　电子邮件 　　如果您使用的是Outlook 2002或更高版本，或者使用的是Outlook Express 6 SP1或更高版本，请用纯文本格式阅读电子邮件，以帮助保护自己免受来自HTML电子邮件攻击媒介的攻击。如何启用此设置，请参见： 　　http://www.cert.org.cn/articles/alert/common/2004070121790.shtml 　　用纯文本格式查看的电子邮件中不会包含图片、特殊字体、动画或其他丰富内容。图片变成了附件，不会丢失，但手动查看恶意图片可能允许远程代码执行。由于操作系统不是通过扩展名来判断文件格式，因此，用户也要警惕那些表象为非JPG扩展名而实质为JPEG的文件。同时，经攻击者特制的JPEG文件也不一定是可显现的图象。 　　总之，用户应对可疑电子邮件保持警惕，尽量避免进行任何操作，并尽快删除。 　　网页 　　攻击者可能会构造恶意网页来诱使用户访问其中的恶意JPEG文件，因此，不要点击和访问主动提供的链接，不要点击来自邮件、即时消息、网络论坛或者网络聊天频道（IRC）中提供的任何不明链接。 　　同时，利用一些浏览器的增强功能软件或非IE浏览器中的增强安全设置，关闭窗口弹出、Flash调用等功能。 　　Office文档 　　攻击者可能将特制图像嵌入Office文档中，然后诱使用户查看该文档。因此，用户应避免查看主动提供的可疑Office文档。 　　2．使用安全工具： 　　个人防火墙 　　攻击者成功利用漏洞后，可能会进一步控制受影响的系统。因此，建议用户设置个人防火墙，阻断未知端口的数据连接。 　　防病毒软件 　　及时更新防病毒软件和病毒库，将会提高系统的抗恶意代码、蠕虫攻击的能力。 　　专用漏洞扫描工具 　　启明星辰专用漏洞扫描工具GdiScan可扫描查出系统漏洞，用户可依据扫描结果进行针对性的修补措施。 　　[即刻下载] 　　专用查杀工具 　　瑞星公司内存补丁及专用查杀工具，下载网址为： 　　http://it.rising.com.cn/service/technology/RS_RavJPG.htm 　　金山公司内存补丁及专用查杀工具，下载网址为： 　　http://db.kingsoft.com/download/3/219.shtml 　　江民科技专用防毒疫苗，下载网址为： 　　http://update.jiangmin.com/download/KVPatch.exe
关键词:

上一页 [ 1 2 3 4 5] 下一页