Simeon

微軟于九月九日凌晨爆出有史以來最大的安全漏洞MS08-052，通過該漏洞，攻擊者可以將木馬藏于圖片中，網民無論是通過瀏覽器瀏覽、還是用各種看圖軟件打開、或者在即時聊天窗口、電子郵件、Office文檔里查看這些圖片，只要看了就會感染木馬!哪怕只是看了一個QQ表情!其危害程度遠遠超過以往微軟公布過的任何安全漏洞。

（一）什么是GDI+漏洞

GDI+?是一種圖形設備接口，能夠為應用程序和程序員提供二維矢量圖形、映像和版式。Microsoft產品中所使用的GDI+庫（GdiPlus.dll）通過基于類的API提供對各種圖形方式的訪問。GDI+庫在解析特制的BMP文件時存在整數溢出漏洞，如果文件中包含有畸形的BitMapInfoHeader的話，就會導致錯誤的整數計算，最終觸發可利用的內存破壞。成功利用此漏洞的攻擊者可完全控制受影響的系統。如果用戶使用受影響的軟件查看特制圖像文件或瀏覽包含特制內容的網站，則這些漏洞可能允許遠程執行代碼。攻擊者可隨后安裝程序；查看、更改或刪除數據；或者創建擁有完全用戶權限的新帳戶。那些帳戶被配置為擁有較少系統用戶權限的用戶比具有管理用戶權限的用戶受到的影響要小。

此次gdi+漏洞非常嚴重，類似以前的光標漏洞和wmf漏洞，涉及的格式更廣（bmp\wmf\gif\emf\vml)?，有關GDI+的漏洞有多個，不過這次是最嚴重的，在MS04-028中公布了Microsoft Windows GDI+ JPG解析組件緩沖區溢出漏洞，遠程攻擊者可以通過構建特殊的JPEG文件，通過聊天軟件發送圖片，發送URL，EMAIL附件等形式，誘使用戶處理，來觸發此漏洞。

微軟公告地址為：[url]http://www.microsoft.com/china/technet/security/bulletin/ms08-052.mspx[/url]

Microsoft Office XP SP3

Microsoft Office 2007

Microsoft Office 2003 Service Pack 2

Microsoft PowerPoint Viewer 2003

Microsoft SQL Server 2005 SP2

Microsoft Windows XP x64 SP2

Microsoft Windows XP x64

Microsoft Windows XP SP3

Microsoft Windows XP SP2

Microsoft Windows?Vista?SP1

Microsoft Windows?Vista

Microsoft Windows?Vista

Microsoft Windows Server 2008

Microsoft Windows Server 2003 SP2

Microsoft Windows Server 2003 SP1

Microsoft Works 8.0

Microsoft .NET Framework SDK 1.0 SP3

Microsoft Visio 2002 SP2

Microsoft Forefront Client Security 1.0

Microsoft Report Viewer 2008 SP1

Microsoft Report Viewer 2005 SP1

1.限制對gdiplus.dll的訪問。

（1）從提升的管理員命令提示符處運行下列命令：

for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N

for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N

for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(x86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N

（2）重新啟動

2.注銷vgx.dll。

（1）依次單擊“開始”-“運行”，鍵入"%SystemRoot%\System32\regsvr32.exe" u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"，然后單擊“確定”。

（2）此時將出現一個對話框，確認注銷過程已成功完成。單擊“確定”關閉對話框。

3.阻止在Internet Explorer中運行COM對象。

請將以下文本粘貼于記事本等文本編輯器中，然后使用.reg文件擴展名保存文件。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FA91DF8D53AB455DAB20F2F023E498D3}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{FA91DF8D53AB455DAB20F2F023E498D3}]

"Compatibility Flags"=dword:00000400

您可以通過雙擊此.reg文件將其應用到各個系統。

（五）使用360的漏洞補丁自動修復工具修復

微軟GDI+圖片漏洞360專用補丁包下載地址：[url]http://dl.360safe.com/360gdi_fix.exe[/url]，下載到本地后，直接運行該程序，程序會自動掃描系統中所有包含的gdiplus.dll文件，然后單擊修復即可，如圖1和圖2所示。

圖1?掃描GDI+漏洞

圖2?修復GDI+漏洞