Microsoft Windows打印后台程序远程溢出漏洞(MS09-022)

BUGTRAQ ID: 35206
CVE(CAN) ID: CVE-2009-0228

Microsoft Windows是微软发布的非常流行的操作系统。

Windows的打印后台程序在解析某些打印数据结构时存在缓冲区溢出漏洞。远程攻击者可以首先诱骗用户访问恶意的打印服务器，然后向受影响系统发送特制的RPC请求，导致在枚举期间错误的解析打印服务器的ShareName。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建新帐户。

Microsoft Windows 2000SP4
临时解决方法：

• 在防火墙阻断TCP 139和445端口。

• 在Windows 2000 SP4上，从NullSessionPipes注册表项删除Print Spooler服务。

  1. 单击“开始”，单击“运行”，键入regedt32，然后单击“确定”。
  2. 在注册表编辑器中，找到以下注册表项：
  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionPipes

  3. 编辑该注册表项，并删除SPOOLSS值。
  4. 执行这些操作之后重新启动受影响的系统。

• 禁用Print Spooler服务

  1. 单击“开始”，然后单击“控制面板”。或者，指向“设置”，然后单击“控制面板”。
  2. 双击“管理工具”。
  3. 双击“服务”。
  4. 双击“Print Spooler”。
  5. 在“启动类型”列表中，单击“禁用”。
  6. 单击“停止”，然后单击“确定”。
  

  您还可以通过在命令提示符处使用以下命令来停止和禁用Print Spooler服务：
  sc stop Spooler & sc config Spooler start=disabled

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS09-022）以及相应补丁:
MS09-022：Vulnerabilities in Windows Print Spooler Could Allow Remote Code Execution (961501)
链接：<a href=“http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx?pf=true</a>

补丁下载：
<a href=“http://www.microsoft.com/downloads/details.aspx?familyid=86378753-db24-44c2-a27d-cc0239f40ab8” target=“_blank”>http://www.microsoft.com/downloads/details.aspx?familyid=86378753-db24-44c2-a27d-cc0239f40ab8</a>