扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Microsoft Office是非常流行的办公软件套件。Office的BMPIMP32.FLT过滤器模块没有正确处理office文档中的BMP图形,如果BMP图形文件头中指定了大量的颜色的话,则打开该文件就可能触发堆溢出,导致执行任意指令。
发布日期:2008-08-12
更新日期:2008-08-14
受影响系统:
Microsoft Office XP SP3
Microsoft Office Converter Pack
Microsoft Office 2000 SP3
Microsoft Works 8.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 30599
CVE(CAN) ID: CVE-2008-3020
Microsoft Office是非常流行的办公软件套件。
Office的BMPIMP32.FLT过滤器模块没有正确处理office文档中的BMP图形,如果BMP图形文件头中指定了大量的颜色的话,则打开该文件就可能触发堆溢出,导致执行任意指令。
<*来源:iDEFENSE
链接:http://secunia.com/advisories/31336/
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=736
http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true
http://www.us-cert.gov/cas/techalerts/TA08-225A.html
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 修改存取控制表以拒绝所有用户对BMP32.FLT的访问
注册表方法
对于Microsoft Windows 2000所有受支持的版本
1. 单击“开始”,单击“运行”,键入regedit.exe,然后单击“确定”。
2. 导航到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Graphics Filters\Import\BMP
3. 单击“安全”,然后单击“权限”。
4. 记下此对话框中列出的权限,以便以后可以将其还原为初始值。
5. 取消选择“允许可继承的权限从父对象传送到此对象...”并单击“删除”和“确定”。
6. 对话框警告使用当前设置时,任何人都将无法访问此注册表项。出现提示时单击“是”。
对于Windows XP Service Pack 1或更高版本操作系统的所有受支持版本
1. 单击“开始”,单击“运行”,键入regedit.exe,然后单击“确定”。
2. 导航到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Graphics Filters\Import\BMP
3. 单击“编辑”,然后单击“权限”。
4. 记下此对话框中列出的权限,以便以后可以将其还原为初始值。
5. 单击“高级”。
6. 取消选择“允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目。单击“删除”,然后单击“确定”。
7. 对话框警告使用当前设置时,任何人都将无法访问此注册表项。单击“是”,然后单击“确定”关闭“BMP 的权限”对话框。
脚本方法
对于Windows XP的所有受支持的32位版本,通过命令提示符运行以下命令:
cacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT" /E /P everyone:N
对于Windows XP的所有受支持的基于x64的版本,通过命令提示符运行以下命令:
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT" /E /P everyone:N
对于Windows Vista和Windows Server 2008的所有受支持的32位版本,以管理员身份通过命令提示符运行下列命令:
takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT"
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT" /save %TEMP%\BMP IMP32 _ACL.TXT
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT" /deny everyone:(F)
对于Windows Vista和Windows Server 2008的所有受支持的基于x64的版本,以管理员身份通过命令提示符运行下列命令:
takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT"
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT" /save %TEMP%\BMP IMP32 _ACL.TXT
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\BMPIMP32.FLT" /deny everyone:(F)
* 不要打开或保存从不受信任来源或从受信任来源意外收到的文档。
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS08-044)以及相应补丁:
MS08-044:Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (924090)
链接:http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。