Microsoft GDI+库图形文件处理多个缓冲区溢出和内存破坏漏洞(MS09-062)

2009-10-20T00:00:00
ID SSV:12497
Type seebug
Reporter Root
Modified 2009-10-20T00:00:00

Description

BUGTRAQ ID: 36619,36645,36646,36648,36649,36650,36651,36647 CVE ID: CVE-2009-2500,CVE-2009-2501,CVE-2009-2502,CVE-2009-2503,CVE-2009-2504,CVE-2009-3126,CVE-2009-2528,CVE-2009-2518

Microsoft产品中所使用的GDI+库(GdiPlus.dll)通过基于类的API提供对各种图形方式的访问。

GDI+处理畸形WMF、PNG、TIFF、BMP等图形文件时存在多个缓冲区溢出和内存破坏漏洞。如果用户打开特制的图形文件,这些漏洞可能允许远程执行代码。成功利用漏洞的攻击者可以完全控制受影响的系统。

1) 在解析位图图形中所使用的颜色数时存在可导致堆溢出的整数溢出。

2) 处理WMF图形文件时存在可导致堆溢出的整数溢出。

3) 处理PNG文件时存在堆溢出和整数溢出。

4) 处理TIFF文件中的BitsPerSample标签时存在缓冲区溢出。

5) 处理TIFF文件中的畸形图形控制扩展可导致内存破坏。

6) 特制的.NET Framework应用可在某些GDI+ API中触发整数溢出。

7) 解析包含有某些属性ID的msofbtOPT Office Drawing记录类型时存在内存破坏。

Microsoft Internet Explorer 6.0 SP1 Microsoft Office XP SP3 Microsoft Office 2007 SP2 Microsoft Office 2007 SP1 Microsoft Office 2003 Service Pack 3 Microsoft Project 2002 SP1 Microsoft SQL Server 2005 SP3 Microsoft SQL Server 2005 SP2 Microsoft SQL Server 2000 Reporting Services SP2 Microsoft Visual Studio 2008 SP1 Microsoft Visual Studio 2008 Microsoft Visual Studio 2005 SP1 Microsoft Visual Studio .NET 2003 SP1 Microsoft Windows XP SP3 Microsoft Windows XP SP2 Microsoft Windows Vista SP2 Microsoft Windows Vista SP1 Microsoft Windows Vista Microsoft Windows Server 2008 SP2 Microsoft Windows Server 2008 Microsoft Windows Server 2003 SP2 Microsoft Works 8.5 Microsoft .NET Framework 2.0 SP2 Microsoft .NET Framework 2.0 SP1 Microsoft .NET Framework 1.1 SP1 Microsoft Visual FoxPro 9.0 SP2 Microsoft Visual FoxPro 8.0 SP1 Microsoft Visio 2002 SP2 Microsoft Forefront Client Security 1.0 Microsoft Report Viewer 2008 SP1 Microsoft Report Viewer 2008 Microsoft Report Viewer 2005 SP1
Microsoft Groove 2007 SP1 Microsoft Groove 2007 临时解决方法:

  • 禁用元文件处理。
  • 限制对gdiplus.dll的访问。
  • 注销vgx.dll。
  • 阻止在Internet Explorer中运行RSClientPrint。
  • 以纯文本格式阅读电子邮件。
  • 不要打开从不受信任来源或从受信任来源意外收到的Office文件。
  • 在Internet Explorer中禁用XAML浏览器应用程序。
  • 禁用部分受信任的.NET应用程序,通过提升的管理员命令提示符运行以下命令:

caspol -pp off caspol -m -resetlockdown caspol -pp on

厂商补丁:

Microsoft

Microsoft已经为此发布了一个安全公告(MS09-062)以及相应补丁: MS09-062:Vulnerabilities in GDI+ Could Allow Remote Code Execution (957488) 链接:http://www.microsoft.com/technet/security/Bulletin/MS09-062.mspx?pf=true