Microsoft Office WPG圖形文件處理漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】Microsoft Office是非常流行的辦公軟體套件。Office的WPGIMP32.FLT模塊沒有正確地處理office文檔中的PICT圖形，如果PICT圖形文件中包含有超長的bits_per_pixel字段的話，則打開該文件就可能觸發堆溢出，導致執行任意代碼。

發佈日期：2008-08-12

更新日期：2008-08-13

受影響系統：

Microsoft Office XP SP3

Microsoft Office Converter Pack

Microsoft Office 2003 Service Pack 2

Microsoft Office 2000 SP3

Microsoft Works 8.0

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 30598

CVE(CAN) ID: CVE-2008-3021

Microsoft Office是非常流行的辦公軟體套件。

Office的WPGIMP32.FLT模塊沒有正確地處理office文檔中的PICT圖形，如果PICT圖形文件中包含有超長的bits_per_pixel字段的話，則打開該文件就可能觸發堆溢出，導致執行任意代碼。

<*來源：Damian Put （[email protected]）

鏈接：http://secunia.com/advisories/31336/

http://www.zerodayinitiative.com/advisories/ZDI-08-049/

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=737

http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA08-225A.html

*>

建議：

----------------------------------------------------------------------------

臨時解決方法：

* 修改存取控制表以拒絕所有用戶對WPG32.FLT的訪問

註冊表方法

1. 單擊「開始」，單擊「運行」，鍵入regedit.exe，然後單擊「確定」。

2. 導航到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Shared Tools/Graphics Filters/Import/WPG。

3. 記下Path的值。 在資源管理器中，導航到作為Path的值列出的WPG32.FLT文件。

4. 右鍵單擊WPG32.FLT文件並選擇「屬性」。

5. 在「安全」選項卡上單擊「高級」。

6. 取消選擇「允許可繼承的權限從父對像傳送到此對像...」並單擊「刪除」。

7. 單擊「確定」、「是」和「確定」。

腳本方法

對於Windows XP的所有受支持的32位版本，通過命令提示符運行以下命令

cacls "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT" /E /P everyone:N

對於Windows XP的所有受支持的基於x64的版本，通過命令提示符運行以下命令：

cacls "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT" /E /P everyone:N

對於Windows Vista和Windows Server 2008的所有受支持的32位版本，以管理員身份通過命令提示符運行下列命令：

takeown /f "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT"

icacls "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT" /save %TEMP%/WPG IMP32 _ACL.TXT

icacls "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT" /deny everyone:(F)

對於Windows Vista和Windows Server 2008的所有受支持的基於x64的版本，以管理員身份通過命令提示符運行下列命令：

takeown /f "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT"

icacls "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT" /save %TEMP%/WPG IMP32 _ACL.TXT

icacls "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/WPGIMP32.FLT" /deny everyone:(F)

* 不要打開或保存從不受信任來源或從受信任來源意外收到的文檔。

廠商補丁：

Microsoft

---------

Microsoft已經為此發佈了一個安全公告（MS08-044）以及相應補丁:

MS08-044：Vulnerabilities in Microsoft Office Filters Could Allow

Remote Code Execution (924090)

鏈接：http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true

(