Microsoft Windows XP SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000SP4
描述:
Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows在处理畸形的动画图标文件(.ani)时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。
Microsoft Windows在处理畸形文件(.ani)时没有正确地验证ANI头中所指定的大小,导致栈溢出漏洞。如果用户受骗使用IE访问了恶意站点或打开了恶意的邮件消息的话,就会触发这个溢出,导致执行任意代码。请注意Windows资源管理器也会处理一些文件扩展名的ANI文件,如.ani、.cur、.ico等。
<*来源:McAfee
链接:http://secunia.com/advisories/24659/
http://www.kb.cert.org/vuls/id/191609
http://www.microsoft.com/technet/security/advisory/935423.mspx?pf=true
http://blogs.technet.com/msrc/archive/2007/03/29/microsoft-security-advisory-935423-posted.aspx
*>
建议:
临时解决方法:
* 以纯文本格式读取邮件
* 禁用预览栏
* 配置Windows资源管理器使用Windows传统风格的文件夹:
打开Windows资源管理器
在“工具”菜单中选择“文件夹”选项
在“任务”部分选择“使用Windows传统风格的文件夹”
厂商补丁:
Microsoft
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security
