• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

Microsoft Office BMP輸入過濾器堆溢出漏洞

【綠盟科技授權,賽迪發佈,謝絕任何網站轉載,違者,賽迪網將保留追究其法律責任的權利!】

【賽迪網-IT技術報道】Microsoft Office是非常流行的辦公軟體套件。Office的BMPIMP32.FLT過濾器模塊沒有正確處理office文檔中的BMP圖形,如果BMP圖形文件頭中指定了大量的顏色的話,則打開該文件就可能觸發堆溢出,導致執行任意指令。

發佈日期:2008-08-12

更新日期:2008-08-14

受影響系統:

Microsoft Office XP SP3

Microsoft Office Converter Pack

Microsoft Office 2000 SP3

Microsoft Works 8.0

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 30599

CVE(CAN) ID: CVE-2008-3020

Microsoft Office是非常流行的辦公軟體套件。

Office的BMPIMP32.FLT過濾器模塊沒有正確處理office文檔中的BMP圖形,如果BMP圖形文件頭中指定了大量的顏色的話,則打開該文件就可能觸發堆溢出,導致執行任意指令。

<*來源:iDEFENSE

鏈接:http://secunia.com/advisories/31336/

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=736

http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA08-225A.html

*>

建議:

--------------------------------------------------------------------------------

臨時解決方法:

* 修改存取控制表以拒絕所有用戶對BMP32.FLT的訪問

註冊表方法

對於Microsoft Windows 2000所有受支持的版本

1. 單擊「開始」,單擊「運行」,鍵入regedit.exe,然後單擊「確定」。

2. 導航到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Shared Tools/Graphics Filters/Import/BMP

3. 單擊「安全」,然後單擊「權限」。

4. 記下此對話框中列出的權限,以便以後可以將其還原為初始值。

5. 取消選擇「允許可繼承的權限從父對像傳送到此對像...」並單擊「刪除」和「確定」。

6. 對話框警告使用當前設置時,任何人都將無法訪問此註冊表項。出現提示時單擊「是」。

對於Windows XP Service Pack 1或更高版本操作系統的所有受支持版本

1. 單擊「開始」,單擊「運行」,鍵入regedit.exe,然後單擊「確定」。

2. 導航到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Shared Tools/Graphics Filters/Import/BMP

3. 單擊「編輯」,然後單擊「權限」。

4. 記下此對話框中列出的權限,以便以後可以將其還原為初始值。

5. 單擊「高級」。

6. 取消選擇「允許父項的繼承權限傳播到該對像和所有子對象,包括那些在此明確定義的項目。單擊「刪除」,然後單擊「確定」。

7. 對話框警告使用當前設置時,任何人都將無法訪問此註冊表項。單擊「是」,然後單擊「確定」關閉「BMP 的權限」對話框。

腳本方法

對於Windows XP的所有受支持的32位版本,通過命令提示符運行以下命令:

cacls "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT" /E /P everyone:N

對於Windows XP的所有受支持的基於x64的版本,通過命令提示符運行以下命令:

cacls "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT" /E /P everyone:N

對於Windows Vista和Windows Server 2008的所有受支持的32位版本,以管理員身份通過命令提示符運行下列命令:

takeown /f "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT"

icacls "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT" /save %TEMP%/BMP IMP32 _ACL.TXT

icacls "%ProgramFiles%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT" /deny everyone:(F)

對於Windows Vista和Windows Server 2008的所有受支持的基於x64的版本,以管理員身份通過命令提示符運行下列命令:

takeown /f "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT"

icacls "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT" /save %TEMP%/BMP IMP32 _ACL.TXT

icacls "%ProgramFiles(x86)%/Common Files/Microsoft Shared/GRPHFLT/BMPIMP32.FLT" /deny everyone:(F)

* 不要打開或保存從不受信任來源或從受信任來源意外收到的文檔。

廠商補丁:

Microsoft

---------

Microsoft已經為此發佈了一個安全公告(MS08-044)以及相應補丁:

MS08-044:Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (924090)

鏈接:http://www.microsoft.com/technet/security/bulletin/MS08-044.mspx?pf=true

(

加入好友line@vga9721w
線上客服
@hd119