正在加载...

今天看到这么一条新闻(来源360.cn):

受此漏洞影响,几乎所有浏览器、即时聊天工具、Office程序以及看图软件等第三方软件都可能成为木马传播的渠道。网民即便没有点击运行任何程序,只要浏览了BBS、博客、电子邮件或即时聊天窗口里带木马的图片,就会立即中招。一旦网民查看了这些带木马的图片,或浏览了带木马图片的网站,攻击者就能利用这一GDI+图片漏洞远程执行代码和安装程序,随意查看、更改或删除用户的电脑数据,或者创建能完全访问用户电脑的新帐户。也就是说,攻击者可以利用该漏洞完全控制住你的电脑!

360还如此介绍:

据奇虎360安全专家介绍,此次微软爆出的GDI+图片漏洞非常严重,有点类似以前的“光标漏洞”和“wmf漏洞”,但涉及的图片格式更多,包括bmp、wmf、gif、emf、vml等,因此漏洞涉及面广,影响网民数众多,危害程度特别巨大,堪称“微软有史以来最大的安全漏洞”。

无论如何,我都不太愿意下载360提供的exe杀毒文件(个人洁癖,360的粉丝请绕行)。于是进行了一些调查。利用Google Blogsearch,看到一些线索:Microsoft Windows GDI+ WMF buffer overrun vulnerability

原文如此说:

Microsoft Windows GDI+ contains a vulnerability that can allow a remote attacker to execute arbitrary code. The vulnerability is due to improper memory allocation when processing specially crafted WMF image file. An attacker can entice users to visit a specially crafted website to execute arbitrary code.

也就是说:微软GDI+包含了一个可以被利用执行某些越权代码。这是由于在处理某些WMF图形文件时造成的。(似乎不像360所说的那样啊?)攻击者可以诱惑用户浏览某些包含越权代码的网站来进行攻击(这个似乎也和360说的不太一样)

解决方案:

Vista:下载这个 , XP:下载这个

注意,经网友David留言提醒,中文版用户可能需要下载这个

其他系统、应用解决方案见原文。

还没找到您要的东西?Google试试看吧,
Google更注重原创、时效性好的文章:


本文相关评论: 才 23 条评论
  1. 非鱼 2008-09-17 03:12:11

    这似乎是很久以前的漏洞了吧?也许360说的不是这个呢?

    • aw 2008-09-17 03:39:51

      Date Discovered:
      9 Sep 2008

      Date Published:
      16 Sep 2008

      Last Updated:
      16 Sep 2008

      • petcon 2008-09-17 07:45:15

        我本来也想说是很久以前的漏洞

        • petcon 2008-09-17 07:47:56

          为什么我的留言是红色的

          ps我觉得可以设置成博主回复留言 即发送至邮箱 这样比以前那个好一点
          blogbus就是这样搞的

          • aw 2008-09-17 07:48:57

            红色表示是当前留言。这样显得醒目。
            当然,颜色可以再斟酌。

            (评论已经达到最大深度!)
          • 林卯 2008-09-18 02:55:34

            边框的这个绿色就很好。
            gif也有漏洞?!
            等待漏洞大面积传播的新闻……

            (评论已经达到最大深度!)
  2. 流星 2008-09-17 03:54:32

    据cnbeta上评论显示,这个是老漏洞被修补之后发现得新漏洞,由于微软的补丁仅修补了自身,而没能修补其他软件所涉及的dll文件。
    不过也据cnbeta评论显示,360肯定不是第一个发现这个的

    • aileenguan 2008-09-19 11:57:55

      据cnbeta评论显示。。。。能不能不闹啊,cnbeta就是一帮天天就知道骂来骂去的人搞火的。博君一乐还是可以的,要拿来作为什么参考依据。。。。。

      说实话,cnbeta实在是上不了大雅之堂,它是网络暴力最鲜活的实证。

      • aw 2008-09-19 12:00:27

        cnbeta的编辑团队中许多人还是不错的。

        • aileenguan 2008-09-19 12:03:00

          这个我信。不过当我看到骂骂咧咧一片的时候,我脑袋都是嗡嗡的。

          以前我也热衷于此,现在很少活动啦,在论坛什么的,基本潜水了。

  3. xingxing 2008-09-17 03:54:41

    自动更新几天前推送过一个关于GDI 的不知道是不是这个

  4. David 2008-09-17 04:27:03

    说language不一致,我是中文版的系统

  5. James 2008-09-17 06:55:37

    我也是诶晕,国人不都是中文版的系统么

  6. NetPuter 2008-09-17 09:56:02

    其实,那个WMF很久以前就有了..
    但是貌似这次的是BMP,JPG的..
    和以前的不一样,虽然都是用GDI~
    可能..可能而已!

  7. Roysing 2008-09-17 10:05:17

    360,我高不清楚它到底是忠是奸?

  8. 花果山寨 2008-09-17 10:51:31

    360说得很邪乎

  9. tom 2008-09-18 12:57:12

    360有点忽悠,就微软都不如他,这个漏洞可以观察一下近期微软是否有中文版对应的知识库文章,否则就是360饶人。虽然我也下载了。
    360对于微软windows系统本身的漏洞应该优先推荐微软的补丁程序

  10. 林卯 2008-09-18 02:59:03

    刚才瞄过360的帖子,感觉是拿这个推销带沙盘的世界之窗——也就是360浏览器。
    嗯,沙盘不错,世界之窗在IE内核中也算不错……不过火狐好像也有沙盘吧?

  11. 阿斯地方 2008-09-21 02:26:39

    那我是2000系统怎么办?似乎没有相关补丁?

  12. UU 2008-09-21 10:47:01

    我也不喜欢用安全卫士,但还是安装了,只做两件事:

    1、清理恶评插件。2、修复系统漏洞(貌似速度比电脑自动更新快)。

    哪位大大能给我推荐一个小工具,可以替代360做上述两件事情的呢,最好是小巧好用绿色版。

    先谢谢了,改天来找答复 :)))

  13. kers 2008-10-01 02:39:41

    360总是说的很惊悚,可对我这样的白痴来说只可信其有不可信其无啊

[支持Ctrl+Enter]为了我们大家和家人的安全,留言请慎重!
声明:
1、本站仅与见过面的个人博客交换链接,见此文
2、留言时的头像是Gravatar提供的服务。如果您有兴趣并且有闲暇时间,可以看看这里的介绍