发布日期：2008-09-09
更新日期：2008-09-11

受影响系统：

Microsoft Office XP SP3
Microsoft Office 2007
Microsoft Office 2003 Service Pack 2
Microsoft PowerPoint Viewer 2003
Microsoft SQL Server 2005 SP2
Microsoft Windows XP x64 SP2
Microsoft Windows XP x64
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Works 8.0
Microsoft .NET Framework SDK 1.0 SP3
Microsoft Visio 2002 SP2
Microsoft Forefront Client Security 1.0
Microsoft Report Viewer 2008 SP1
Microsoft Report Viewer 2005 SP1

描述：

---

BUGTRAQ  ID: 31020
CVE(CAN) ID: CVE-2008-3013

Microsoft产品中所使用的GDI+库（GdiPlus.dll）通过基于类的API提供对各种图形方式的访问。

GDI+库处理包含有畸形图形控制扩展的GIF图形的方式中存在内存破坏漏洞，如果在处理GIF文件时发现大量的扩展标记（0x21）后跟随有未知标签的话，就可以触发这个漏洞。

成功利用此漏洞的攻击者可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

<*来源：Ivan Fratric （ifsecure@gmail.com）
  
  链接：http://marc.info/?l=bugtraq&m=122099485113490&w=2
        http://secunia.com/advisories/31675/
        http://marc.info/?l=bugtraq&m=122107045008573&w=2
        http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA08-253A.html
*>

建议：

---

临时解决方法：

* 限制对gdiplus.dll的访问。
    
    1. 从提升的管理员命令提示符处运行下列命令：

for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(x86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N

    2. 重新启动

* 注销vgx.dll。
    
    1. 依次单击“开始”、“运行”，键入 "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，然后单击“确定”。
    2. 此时将出现一个对话框，确认注销过程已成功完成。单击“确定”关闭对话框。

* 阻止在Internet Explorer中运行COM对象。
    
    请将以下文本粘贴于记事本等文本编辑器中，然后使用.reg文件扩展名保存文件。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FA91DF8D-53AB-455D-AB20-F2F023E498D3}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{FA91DF8D-53AB-455D-AB20-F2F023E498D3}]

"Compatibility Flags"=dword:00000400

    您可以通过双击此.reg文件将其应用到各个系统。您还可以使用组策略跨域应用该文件。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-052）以及相应补丁:
MS08-052：Vulnerabilities in GDI+ Could Allow Remote Code Execution (954593)
链接：http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx?pf=true

浏览次数：5558
严重程度：0（网友投票）