Microsoft Windows search-ms协议解析远程代码执行漏洞（MS08-075）

BUGTRAQ ID: 32652
CVE(CAN) ID: CVE-2008-4269

Microsoft Windows是微软发布的非常流行的操作系统。

Windows资源管理器在解析search-ms协议时没有正确地处理参数，如果用户访问了恶意站点并通过特殊方式调用了search-ms协议处理器的话，就可能导致执行任意代码。

Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
临时解决方法：

• 在Windows资源管理器中禁用search-ms协议处理程序。

使用交互方法

1. 单击“开始”，单击“运行”，在“打开”框中键入“regedit”（不带引号），然后单击“确定”。
2. 找到并展开下列注册表子项：\search-ms\shell\open.
3. 单击Command。
4. 单击“文件”菜单并选择“导出”。
5. 在“导出注册表文件”对话框中，输入“Search-ms_pluggable_protocol_registry_backup.reg”，然后单击“保存”。
6. 通过双击编辑（默认）注册表值。从“数值数据:” 字段中清除所有数据。
7. 单击“确定”。

使用被管理的部署脚本

1. 使用包含以下命令的托管部署脚本创建注册表项的备份副本：
   regedit /e Search-ms_pluggable_protocol_registry_backup.reg HKEY_CLASSES_ROOT\search-ms\shell\open\command.

2. 接下来，将下列内容保存到扩展名为.REG的文件，例如"Disable_search-ms_pluggable_protocol.reg":

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\search-ms\shell\open\command]
@=""

3. 在目标计算机上的提升命令提示符处，使用下列命令运行以上注册表脚本：
   Regedit.exe /s Disable_ search-ms_pluggable_protocol.reg

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS08-075）以及相应补丁:
MS08-075：Vulnerabilities in Windows Search Could Allow Remote Code Execution (959349)
链接：<a href=“http://www.microsoft.com/technet/security/Bulletin/ms08-075.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/Bulletin/ms08-075.mspx?pf=true</a>