Microsoft Windows打印后台程序远程溢出漏洞(MS09-022)

2009-06-13T00:00:00
ID SSV:11607
Type seebug
Reporter Root
Modified 2009-06-13T00:00:00

Description

BUGTRAQ ID: 35206 CVE(CAN) ID: CVE-2009-0228

Microsoft Windows是微软发布的非常流行的操作系统。

Windows的打印后台程序在解析某些打印数据结构时存在缓冲区溢出漏洞。远程攻击者可以首先诱骗用户访问恶意的打印服务器,然后向受影响系统发送特制的RPC请求,导致在枚举期间错误的解析打印服务器的ShareName。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。

Microsoft Windows 2000SP4 临时解决方法:

  • 在防火墙阻断TCP 139和445端口。
  • 在Windows 2000 SP4上,从NullSessionPipes注册表项删除Print Spooler服务。

    1. 单击“开始”,单击“运行”,键入regedt32,然后单击“确定”。
    2. 在注册表编辑器中,找到以下注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionPipes

    3. 编辑该注册表项,并删除SPOOLSS值。

    4. 执行这些操作之后重新启动受影响的系统。
  • 禁用Print Spooler服务

    1. 单击“开始”,然后单击“控制面板”。或者,指向“设置”,然后单击“控制面板”。
    2. 双击“管理工具”。
    3. 双击“服务”。
    4. 双击“Print Spooler”。
    5. 在“启动类型”列表中,单击“禁用”。
    6. 单击“停止”,然后单击“确定”。

    您还可以通过在命令提示符处使用以下命令来停止和禁用Print Spooler服务: sc stop Spooler & sc config Spooler start=disabled

厂商补丁:

Microsoft

Microsoft已经为此发布了一个安全公告(MS09-022)以及相应补丁: MS09-022:Vulnerabilities in Windows Print Spooler Could Allow Remote Code Execution (961501) 链接:<a href="http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx?pf=true" target="_blank" rel=external nofollow>http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx?pf=true</a>

补丁下载: <a href="http://www.microsoft.com/downloads/details.aspx?familyid=86378753-db24-44c2-a27d-cc0239f40ab8" target="_blank" rel=external nofollow>http://www.microsoft.com/downloads/details.aspx?familyid=86378753-db24-44c2-a27d-cc0239f40ab8</a>