安全研究

紧急通告
绿盟科技紧急通告(Alert2004-09)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

针对微软GDI+ JPG漏洞(MS04-028)的攻击代码开始流传

发布日期:2004-09-28


受影响的软件及系统:
====================
Microsoft Windows XP
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64 位版本(2003 版)
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64 位版本
Microsoft Office XP Service Pack 3
Microsoft Office 2003
Microsoft Project 2002 Service Pack 1
Microsoft Project 2003
Microsoft Visio 2002 Service Pack 2
Microsoft Visio 2003
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft .NET Framework(版本 1.0)SDK Service Pack 2
Microsoft Picture It!-2002
Microsoft Greetings 2002
Microsoft Picture It! 版本 7.0
Microsoft Digital Image Pro 版本 7.0
Microsoft Picture It! 版本 9
Microsoft Digital Image Pro 版本 9
Microsoft Digital Image Suite 版本 9
Microsoft Office PowerPoint 的 Microsoft Producer
Microsoft Platform SDK Redistributable: GDI+
Internet Explorer 6 Service Pack 1
Microsoft .NET Framework(版本 1.0)Service Pack 2
Microsoft .NET Framework 版本 1.1

未受影响的软件及系统:
======================
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft
Windows Millennium Edition (Me)
Microsoft Office 2003 Service Pack 1
Microsoft Office 2000
Microsoft Visio 2003 Service Pack 1
Microsoft Visio 2000
Microsoft Project 2003 Service Pack 1
Microsoft Project 2000
Microsoft Digital Image Suite 10 和 Microsoft Digital Image Pro 10,Picture It!
Premium 10
Windows 2000 Service Pack 3 上的 Internet Explorer 5.01 Service Pack 3
Windows 2000 Service Pack 4 上的 Internet Explorer 5.01 Service Pack 4
Windows Millennium Edition 上的 Internet Explorer 5.5 Service Pack 2
Microsoft .NET Framework 版本 1.0 Service Pack 3
Microsoft .NET Framework 版本 1.1 Service Pack 1

综述:
======
微软安全公告MS04-028中公布了Microsoft Windows GDI+ JPG解析组件缓冲区溢出漏洞。绿盟科技安全小组在实验室中重现了针对该漏洞的有效利用。根据研究结果,我们得出结论,编写基于该漏洞的蠕虫是完全可能的。并且,绿盟科技安全小组监测到针对该漏洞的攻击代码已经在互联网上开始流传。

分析:
======
Microsoft Windows图形设备接口(GDI+)是为用户提供在屏幕和打印机上显示信息的API。GDI+也能处理JPEG图象文件。

GDI+ (Gdiplus.dll)在处理畸形JPEG文件时存在一个基于堆的缓冲区溢出,远程攻击者可以利用这个漏洞构建恶意JPEG文件,以用户进程权限在系统上执行任意指令。

Microsoft报告Windows XP、Windows XP Service Pack 1和Windows Server 2003操作系统下的组件存在此问题。因此,使用这些系统的用户应当立刻安装更新补丁。部分第三方应用程序安装了这些受影响的组件,包括Office XP, Visio 2002、Project 2002、Office 2003、Visio 2003和Project 2003、IE 6.0等等。如果这些应用程序安装在系统上,即使您是Windows 98/NT/2000用户,用户也必须安装补丁。

必须注意的是第三方的应用程序,只要安装受此漏洞影响的组件,任何应用程序使用Gdiplus.dll处理JPEG图象,就会受到此漏洞攻击。目前已知腾讯公司的QQ受此问题影响,请QQ用户立刻安装最新的QQ 2004正式版SP1:
http://im.qq.com/qq/mo.shtml?/download/qq2004.shtml

远程攻击者可以通过构建特殊的JPEG文件,通过聊天软件发送图片,发送URL,EMAIL附件等形式,诱使用户处理,来触发此漏洞。绿盟科技安全小组在实验室中重现漏洞时发现,完全可能写出通用性很好的利用代码,也就是说,编写基于该漏洞的蠕虫是完全可能的。最可能出现的形式可能是邮件蠕虫或者P2P蠕虫。

解决方法:
==========
Microsoft已经为此发布了一个安全公告(MS04-028)以及相应补丁:
JPEG 处理时 (GDI+) 的缓冲区溢出可能允许执行代码 (833987)
链接:http://www.microsoft.com/china/technet/security/bulletin/MS04-028.mspx

NSFOCUS建议您首先通过Windows Update和Office Update来安装针对操作系统、IE和Office软件相关的补丁。

Windows Update:
http://go.microsoft.com/fwlink/?LinkId=21130
Office Update:
http://go.microsoft.com/fwlink/?LinkId=21135

而如果您使用的系统是 Windows 98、Windows 98 SE、Windows Me、Windows NT 4.0 和 Windows 2000 操作系统,并且安装了下列任一产品:

Visual Studio .NET 2002(和所有包括的程序)
Visual Studio .NET 2003(和所有包括的程序)
Greetings 2002、Picture It! (所有版本)
Digital Image(所有版本)
Microsoft .NET Framework 版本 1.0 SDK Service Pack 2
Producer for Microsoft Office PowerPoint (所有版本)
Platform SDK Redistributable: GDI+

您必须手工安装相关补丁。

微软提供了一个 GDI+ Detection 工具,协助检测是否在运行系统上是否运行有问题的组件:
http://download.microsoft.com/download/4/9/f/49f511d3-adae-4dd7-aedd-1c7f81f633ec/gdidettool.exe

相关补丁链接:

Microsoft Windows XP、Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=6F8D70C1-63BD-4213-82C1-20266FDFD735

Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=1631C3F7-A40E-4B26-BD92-12141E6A7F58&displaylang=en

Microsoft Windows XP 64 位版本(2003 版)
http://www.microsoft.com/downloads/details.aspx?FamilyId=98BFF681-9703-4D23-8DF8-B7239D6C531C&displaylang=en

Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B2FBD93C-3DC3-4A9E-BDD6-9F39726EE3E2

Microsoft Windows Server 2003 64 位版本
http://www.microsoft.com/downloads/details.aspx?FamilyId=98BFF681-9703-4D23-8DF8-B7239D6C531C&displaylang=en

Microsoft Office XP Service Pack 3
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=7D128614-6D34-49DF-8D63-6C17E9A2D312

Microsoft Office 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=106BCF99-1BA9-4035-94C5-2A7FA90E5971

Microsoft Project 2002 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B3EBCCEA-B0E4-41C7-A6F4-413864D2CCF3

Microsoft Project 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=9E37B6B0-A028-47EA-8FA1-3705877A2908

Microsoft Visio 2002 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=16C2DFFD-7B73-43C4-AB0D-2B5EFC80EB63

Microsoft Visio 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C07D40A5-6F87-4D50-9640-34FFD2F189E1

Microsoft Visual Studio .NET 2002
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=44004D19-B22F-4AF2-A701-1FCB0467FBF9

Microsoft Visual Studio .NET 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=A13B7A21-463C-4286-AD68-E692417E80E2

Microsoft .NET Framework(版本 1.0)SDK Service Pack 2
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=6978D761-4A92-4106-A9BC-83E78D4ABC5B

Microsoft Picture It!-2002
http://www.microsoft.com/downloads/details.aspx?FamilyId=235EBC80-564B-4B52-A344-502E25AAD7FE&displaylang=en

Microsoft Greetings 2002
http://www.microsoft.com/downloads/details.aspx?FamilyId=235EBC80-564B-4B52-A344-502E25AAD7FE&displaylang=en

Microsoft Picture It! 版本 7.0
http://www.microsoft.com/downloads/details.aspx?FamilyId=235EBC80-564B-4B52-A344-502E25AAD7FE&displaylang=en

Microsoft Digital Image Pro 版本 7.0
http://www.microsoft.com/downloads/details.aspx?FamilyId=235EBC80-564B-4B52-A344-502E25AAD7FE&displaylang=en

Microsoft Picture It! 版本 9
http://www.microsoft.com/downloads/details.aspx?FamilyId=235EBC80-564B-4B52-A344-502E25AAD7FE&displaylang=en

Microsoft Digital Image Pro 版本 9
http://www.microsoft.com/downloads/details.aspx?FamilyId=235EBC80-564B-4B52-A344-502E25AAD7FE&displaylang=en

Microsoft Digital Image Suite 版本 9
http://www.microsoft.com/downloads/details.aspx?FamilyId=235EBC80-564B-4B52-A344-502E25AAD7FE&displaylang=en

Microsoft Office PowerPoint 的 Microsoft Producer
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=1b3c76d5-fc75-4f99-94bc-784919468e73

Microsoft Platform SDK Redistributable: GDI+
http://www.microsoft.com/downloads/details.aspx?FamilyId=6A63AB9C-DF12-4D41-933C-BE590FEAA05A&displaylang=en

Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B0095851-674D-4357-868C-DD75D88405EC

Microsoft .NET Framework(版本 1.0)Service Pack 2
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=6978D761-4A92-4106-A9BC-83E78D4ABC5B

Microsoft .NET Framework 版本 1.1
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=A8F5654F-088E-40B2-BBDB-A83353618B38

附加信息:
==========
http://www.nsfocus.net/index.php?act=alert&do=view&aid=44
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=6902
http://www.kb.cert.org/vuls/id/297462
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
http://im.qq.com/qq/mo.shtml?/download/qq2004.shtml

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技