“漏洞”是指套用軟體或作業系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤,這種缺陷或錯誤可以被電腦黑客利用,而給電腦用戶帶來威脅。當然,世上沒有完美無漏洞的軟體,即便是軟體霸主微軟也會定期公布自己的軟體中存在的“漏洞”。在微軟公布漏洞的同時會發布該漏洞的補丁,用戶通過系統的自動更新功能獲取補丁,進而修復漏洞。GDI+ 是一種圖形設備接口,能夠為應用程式和程式設計師提供二維矢量圖形、映像和版式。2008年9月10日,微軟公司在本月更新中,公開了一個關於GDI+的漏洞(MS08-052)。黑客可以依據GDI+漏洞的特點製作惡意圖片,而含有GDI+漏洞的電腦系統一旦瀏覽這類圖片就可能中招。黑客則可以通過在網上掛馬、在BBS社區、QQ等聊中散播這類“危險圖片”。受影響的常見圖片格式有GIF、EMF、WMF、VML、BMP,也就是說機器上有該漏洞的系統一旦打開(甚至不需要用戶打開,只要程式解析該檔案)包含有漏洞的利用代碼的檔案就會執行其中的任意代碼。舉個簡單的例子:當黑客把含有病毒的QQ表情圖片發到QQ群裡面,那么群裡面所有用戶就有可能中毒。
基本介紹
- 中文名:圖形設備接口漏洞
- 外文名:GdiPlus
- 特 點::影響網民數眾多危害程度特別巨大
- 影 響::常見的圖片檔案格式
GDI漏洞介紹,存在GDI漏洞的檔案,漏洞相關描述,GDI解決辦法,GDI漏洞的影響,受影響的圖片格式,
GDI漏洞介紹
GDI是Graphics Device Interface的縮寫,含義是圖形設備接口,它的主要任務是負責系統與繪圖程式之間的信息交換,處理所有Windows程式的圖形輸出,主要負責在顯示螢幕和列印設備輸出有關信息。在 Windows作業系統下,絕大多數具備圖形界面的應用程式都離不開GDI,我們利用GDI所提供的眾多函式就可以方便的在螢幕、印表機及其它輸出設備上輸出圖形,文本等操作。GDI的出現使程式設計師無需要關心硬體設備及設備驅動,就可以將應用程式的輸出轉化為硬體設備上的輸出,實現了程式開發者與硬體設備的隔離,大大方便了開發工作。
顧名思義,GDI+是以前版本GDI的繼承者,GDI+ 是一種圖形設備接口系統,能夠為應用程式和程式設計師提供二維矢量圖形、映像和版式。微軟GDI+歷史上曾多次被發現存在安全漏洞,如JPEG圖片漏洞。存在GDI漏洞的原因是:圖片檔案中極易隱藏信息,包括可以執行的惡意代碼。該漏洞影響範圍廣泛,不但包括IE瀏覽器、Office軟體以及windows自帶的圖片瀏覽工具,還波及了目前幾乎所有能查看、展示主要圖片格式的第三方軟體,包括主流聊天工具、瀏覽器(除了360安全瀏覽器的超強安全模式)、看圖軟體和視頻播放軟體。涉及的圖片格式更多,包括bmp、wmf、gif、emf、vml。
存在GDI漏洞的檔案
檔案名稱稱:GdiPlus.dll
檔案版本:5.1.3102.2180
檔案名稱稱:VGX.dll
檔案路徑:%CommonProgramFiles%Microsoft SharedVGX
檔案版本: 7.00.6000.20628
7.00.6000.16386
6.00.2900.3051
6.00.2900.2997
漏洞相關描述
如果用戶瀏覽包含特製內容的網站,該漏洞可能允許遠程執行代碼。成功利用GDI+漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。其詳細情況如下:
1.GDI+ VML 緩衝區溢出漏洞
GDI+ 處理漸變大小的方式中存在一個遠程執行代碼漏洞。如果用戶瀏覽包含特製內容的網站,該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
2.GDI+ EMF 記憶體損壞漏洞
GDI+ 處理記憶體分配的方式中存在一個遠程執行代碼漏洞。 如果用戶打開特製的 EMF圖像檔案或瀏覽包含特製內容的網站,則此漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
3.GDI+ GIF 分析漏洞
GDI+ 分析 GIF 圖像的方式中存在一個遠程執行代碼漏洞。如果用戶打開特製的 GIF圖像檔案或瀏覽包含特製內容的網站,則此漏洞可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建新帳戶。
4.GDI+ WMF 緩衝區溢出漏洞
GDI+ 為 WMF 圖像檔案分配記憶體的方式中存在一個遠程執行代碼漏洞。如果用戶打開特製的 WMF 圖像檔案或瀏覽包含特製內容的網站,則此漏洞可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。 那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
5.GDI+ BMP 整數溢出漏洞
GDI+ 處理整數計算的方式中存在一個遠程執行代碼漏洞。 如果用戶打開特製的 BMP圖像檔案,該漏洞可能允許遠程執行代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
6.遠程執行代碼漏洞
GDI+ 處理整數計算的方式中存在一個遠程執行代碼漏洞。 如果用戶打開特製的 BMP 圖像檔案,該漏洞可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。 攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
GDI解決辦法
臨時解決辦法:
1.限制對 gdiplus.dll 的訪問
1)從提升的管理員命令提示符處運行下列命令:
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(x86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
2)重新啟動
2.註銷 vgx.dll
1)依次單擊“開始”、“運行”,鍵入 "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll",然後單擊“確定”。
2)此時將出現一個對話框,確認註銷過程已成功完成。 單擊“確定”關閉對話框。
阻止 COM 對象在 Internet Explorer 中運行
您可以通過在註冊表中為控制項設定 kill bit 來禁止嘗試在 Internet Explorer 中實例化COM 對象。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FA91DF8D-53AB-455D-AB20-F2F023E498D3}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{FA91DF8D-53AB-455D-AB20-F2F023E498D3}]
"Compatibility Flags"=dword:00000400
GDI漏洞的影響
GDI+庫在解析特製的BMP檔案時存在整數溢出漏洞,如果檔案中包含有畸形的BitMapInfoHeader的話,就會導致錯誤的整數計算,最終觸發可利用的記憶體破壞。成功利用此漏洞的攻擊者可完全控制受影響的系統。如果用戶使用受影響的軟體查看特製圖像檔案或瀏覽包含特製內容的網站,則這些漏洞可能允許遠程執行代碼。攻擊者可隨後安裝程式;查看、更改或刪除數據;或者創建擁有完全用戶許可權的新帳戶。那些帳戶被配置為擁有較少系統用戶許可權的用戶比具有管理用戶許可權的用戶受到的影響要小。
利用GDI漏洞的途徑有:
1)電子郵件:向用戶傳送特製的 EMF 圖像檔案或者其中嵌入了 EMF 圖像檔案的 Office 文檔,並誘使用戶打開文檔或查看內含特製圖像檔案的電子郵件來利用此漏洞。
2)及時聊天工具:通過主流聊天工具的請求中的連結以使用戶連結到攻擊者的網站。
3)圖片、網頁:誘使用戶單擊指向攻擊者網站的連結,上面放置著用來嘗試利用此漏洞的 BMP 格式圖像檔案,電腦用戶只需要點擊包含惡意代碼的圖片或網頁,電腦即可中毒。
4)廣告:通過橫幅廣告或其他方式顯示特製的 Web 內容,以便將 Web 內容傳遞至受影響的系統。
GDI+漏洞的危險之處體現在以下兩個方面:
1、依靠圖片傳播,防不勝防
微軟GDI+漏洞最危險之處在於它可以讓木馬、病毒藏匿於bmp、wmf、gif格式的圖片中。也就是說,在網頁、論壇社區、電子郵件、qq等聊天中,瀏覽含此類木馬的圖片都有可能中招(無需點擊),可以說是防不勝防。而中招後的電腦,將會被黑客完全控制,通過下載海量的木馬、病毒最新變種,讓防毒軟體徹底癱瘓。
2、GDI+漏洞潛伏於無多種套用軟體中,修補十分複雜
通常的系統漏洞,我們自動安裝微軟發布的緊急補丁即可,而GDI+漏洞影響範圍非常廣泛,單單的打系統補丁依然是遠遠不夠的,GDI+漏洞還潛伏在各種瀏覽器、看圖工具、QQ等聊天工具、Office程式中,如果你的機器內包含這些套用軟體,而這些軟體廠商沒有更新自己的GDI相關組件,那么同樣會造成安全隱患!
受影響的圖片格式
此次gdi+漏洞非常嚴重,類似以前的游標漏洞和wmf漏洞,涉及的格式更廣(bmp\wmf\gif\emf\vml)
漏洞影響的系統和軟體:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2008
Microsoft Windows Storage Server 2003
Microsoft Windows Vista
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
微軟軟體:
Microsoft .NET Framework 1.x
Microsoft .NET Framework 2.x
Microsoft Digital Image 2006 11.x
Microsoft Forefront Client Security 1.x
Microsoft Internet Explorer 6.x
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft Office Excel Viewer
Microsoft Office Excel Viewer 2003
Microsoft Office PowerPoint Viewer 2003
Microsoft Office PowerPoint Viewer 2007
Microsoft Office Project 2002
Microsoft Office Word Viewer
Microsoft Office XP
Microsoft Platform SDK Redistributable: GDI+
Microsoft Report Viewer 2005
Microsoft Report Viewer 2008
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Compact Edition 3.x
Microsoft SQL Server 2005 Express Edition
Microsoft Visio 2002
Microsoft Visio 2003 Viewer
Microsoft Visio 2007 Viewer
Microsoft Visual FoxPro 8.x
Microsoft Visual FoxPro 9.x
Microsoft Visual Studio .NET 2002
Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2008
Microsoft Word Viewer 2003
Microsoft Works 8.x
SQL Server 2000 Reporting Services
其他引用了含有漏洞的GdiPlus.dll的應用程式。
