Windows资源管理器保存搜索文件远程代码执行漏洞（MS08-038）

BUGTRAQ ID: 30109
CVE(CAN) ID: CVE-2008-1435

Microsoft Windows是微软发布的非常流行的操作系统。

Windows资源管理器没有正确地解析保存搜索（.search-ms）文件。如果用户受骗打开并保存了特制的.search-ms文件的话，Windows资源管理器就会退出并以可利用的方式重新启动，导致在用户系统上执行任意指令。

Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
临时解决方法：

• 临时更改与“.search-ms”文件扩展名有关的文件类型，在提升的命令提示符处输入以下命令：

assoc .search-ms=xmlfile

• 修改注册表以禁止用户打开保存搜索文件或访问保存搜索文件夹。

  1. 单击“开始”，单击“运行”，在“打开”框中键入Regedit，然后单击“确定”。

  2. 找到并展开下列注册表子项：
     HKEY_CLASSES_ROOT\SearchFolder

     单击“编辑”，然后单击“权限”

  3. 单击“高级”。

  4. 单击清除“包括可从该对象的父项继承的权限”复选框。系统将提示您单击“复制”、“删除”或“取消”。单击“删除”，然后单击“确定”。

  5. 您会收到一则消息，说明没有人能够访问此注册表项。单击“是”，然后单击“确定”关闭“SearchFolder的权限”对话框。

• 注销SearchFolder文件类型。

  使用交互方法

  1. 单击“开始”，单击“运行”，在“打开”框中键入Regedit，然后单击“确定”。

  2. 找到并随后单击下列注册表子项：
     HKEY_CLASSES_ROOT\SearchFolder

  3. 单击“文件”菜单并选择“导出”。

  4. 在“导出注册表文件”对话框中，键入SearchFolder_file_association_registry_backup.reg，然后单击“保存”。

  5. 按键盘上的“Delete”键删除该注册表项。当系统提示您通过“确认项删除”对话框删除注册表项时，单击“是”。

  使用被管理的部署脚本

  1. 使用包含下列命令的被管理的部署脚本创建注册表项的备份副本：

Regedit.exe /e SearchFolder_registry_backup.reg
HKEY_CLASSES_ROOT\SearchFolder

2. 接下来，将下列内容保存到扩展名为.REG的文件，例如Delete_SearchFolder_file_association.reg：

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\SearchFolder]

3. 在目标计算机上的提升命令提示符处，使用下列命令运行以上注册表脚本：

Regedit.exe /s Delete_SearchFolder_file_association.reg

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS08-038）以及相应补丁:
MS08-038：Vulnerability in Windows Explorer Could Allow Remote Code Execution (950582)
链接：<a href=“http://www.microsoft.com/technet/security/bulletin/ms08-038.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/ms08-038.mspx?pf=true</a>