发布日期：2004-12-23
更新日期：2004-12-28

受影响系统：

Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP4
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 12094

ANI是WINDOWS 支持的动画光标格式.

WINDOWS在处理错误的光标格式的时候存在问题，远程攻击者可以利用这个漏洞使内核崩溃，蓝屏重启或内核被拒绝服务。

ANI是WINDOWS 支持的动画光标格式，在ANI是由多个普通的光标文件组成一个动画，其中ANI   文件的头处会标记是几个图标frame，WINDOWS 的内核在显示光标的时候并未对该值进行检查，如果将这个数字设置为0，会导致受影响的WINDOWS系统计算出错误的光标的地址并加以访问，触发了内核的蓝屏崩溃。不仅仅是应用使用ANI文件时会触发，只要在EXPLORER下打开ANI文件存在的目录就会触发。攻击者也可以发送光标的文件，引诱用户访问含有恶意光标显示的页面，以及发送嵌入光标的HTML邮件，导致被攻击者系统蓝屏崩溃。

另外ANI文件的头处会标记每FRAME切换的频率，该值越小切换的速度越快，WINDOWS 的内核在切换光标FRAME的时候并未对该值进行检查，如果将这个数字设置为0，受影响的WINDOWS的内核会 陷入内核的死锁，不再响应任何用户界面的操作。该漏洞触发必须要在使用ANI文件的应用中才能触发,攻击者引诱用户访问含有恶意光标显示的页面，以及发送嵌入光标的HTML邮件，导致被攻击者系统内核死琐。

<*来源：Flashsky （flashsky@xfocus.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=110382854111833&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Flashsky （flashsky@xfocus.org）提供了如下测试方法：

http://www.xfocus.net/flashsky/icoExp/index.html

建议：

---

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security/

浏览次数：2962
严重程度：0（网友投票）