[注意]微软爆出史上最大安全漏洞 -- GDI+图片漏洞详情及其紧急应对补丁

叶秋霜

[这个贴子最后由叶秋霜在 2008/09/22 23:44 第 1 次编辑]

[color=#00008B]近日，微软爆出有史以来最大的安全漏洞 --GDI+图片漏洞。
通过该漏洞，攻击者可以将木马藏于图片中，网民无论是通过浏览器浏览、还是用各种看图软件打开、或者在即时聊天窗口、电子邮件、Office文档里查看这些图片，只要看了就会中招！哪怕只是看了一个QQ表情！其危害程度远远超过以往微软公布过的任何安全漏洞。
什么是GDI+：
GDI+ 是一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式。
漏洞影响：
Microsoft产品中所使用的GDI+库（GdiPlus.dll）通过基于类的API提供对各种图形方式的访问。
GDI+库在解析特制的BMP文件时存在整数溢出漏洞，如果文件中包含有畸形的BitMapInfoHeader的话，就会导致错误的整数计算，最终触发可利用的内存破坏。成功利用此漏洞的攻击者可完全控制受影响的系统。如果用户使用受影响的软件查看特制图像文件或浏览包含特制内容的网站，则这些漏洞可能允许远程执行代码。
攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。
受影响的图片格式：
此次gdi+漏洞非常严重，类似以前的光标漏洞和wmf漏洞，涉及的格式更广（bmp\wmf\gif\emf\vml)
微软对第三方应用程序建议：
★我是第三方应用程序开发人员，我的应用程序使用 gdiplus.dll。 我的应用程序是否容易受到攻击，如何进行更新？
重新分发 gdiplus.dll 的开发人员应该确保他们通过下载本公告中提供的更新来更新随其应用程序安装的 gdiplus.dll 版本。 鼓励开发人员按照使用共享组件的推荐最佳方案执行操作。 有关使用共享组件的最佳做法的详细信息，请参阅关于独立应用程序的 Microsoft 知识库文章 835322。
★我正在开发包含可重新分发文件 gdiplus.dll 的软件。应该怎样做？
您应该为您的开发软件安装本公告中提供的安全更新。 如果已经随您的应用程序重新分发了 gdiplus.dll，您应该使用为您的开发软件下载此安全更新时获得的此文件更新版本向您的客户发布您的应用程序的更新版本。
★如果第三方应用程序使用或安装受影响的 gdiplus.dll 组件，那么安装所有需要的 Microsoft 安全更新之后是否仍然容易受到攻击？
否，此安全更新替换并重新注册随操作系统提供的受影响的组件。 如果第三方应用程序遵循建议的最佳方案，即将共享组件用作并列组件，那么它们也不会受到影响。 如果第三方应用程序没有遵循推荐的最佳方案，而是随其应用程序一起重新分发了 gdiplus.dll 的旧版本，则客户可能受到威胁。 Microsoft 知识库文章 954593 也包含面向希望手动检查已注册的受影响 OLE 组件的说明。 鼓励客户联系第三方解决方案开发商以获取其他信息。
微软GDI+图片漏洞360专用补丁包下载地址：
http://dl.360safe.com/360gdi_fix.exe

（本公子这厢有礼了。）

叶秋霜

下面引用由bbsky在 2008/09/23 00:00 发表的内容：
自动更新或者用Windows Update打上系统补丁就行了，微软已经出了这个漏洞的补丁。有一些软件出的漏洞补丁仅仅是搜索系统中的旧版gdiplus.dll，然后用补丁包中的新版gdiplus.dll去替换而已。

自动更新是给正版用户用的。
中国D版操作系统多，有很多不能直接update的。
（本公子这厢有礼了。）

吟风听月

木马绑图片好像不是现在开始的吧？

叶秋霜

下面引用由吟风听月在 2008/09/23 08:39 发表的内容：
木马绑图片好像不是现在开始的吧？

嗯。这做法是早就有。
漏洞终于被微软公开咯。
（本公子这厢有礼了。）