史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
刷新本頁 資訊 - Microsoft Internet Explorer VML Buffer Overflow Vulnerability的資料和暫時解決方法
忘記密碼?
論壇說明

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-09-25, 01:13 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 資訊 - Microsoft Internet Explorer VML Buffer Overflow Vulnerability的資料和暫時解決方法
Microsoft Internet Explorer VML Buffer Overflow Vulnerability的資料和暫時解決方法

又一嚴重漏洞.....

Microsoft Internet Explorer VML Buffer Overflow Vulnerability 的資料和暫時解決方法

名稱:
-Microsoft Vector Graphics Rendering Library Buffer Overflow
-Microsoft Internet Explorer Vector Markup Language Buffer Overflow Vulnerability

Microsoft Security Advisory:
http://www.microsoft.com/technet/sec...ry/925568.mspx

References:
http://secunia.com/advisories/21989
http://www.securityfocus.com/bid/20096
http://vil.nai.com/vil/Content/v_vul26881.htm

已知受影響的軟件:
Microsoft Windows XP 所有版本
Microsoft Windows Server 2003 所有版本
Microsoft Windows 2000 SP4 所有版本
Microsoft Outlook 2003
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.0 (可能受影響)

說明:
The vulnerability is caused due to a boundary error in the Microsoft Vector Graphics Rendering(VML) library (vgx.dll) when processing certain content in Vector Markup Language (VML) documents. This can be exploited to cause a stack-based buffer overflow by e.g. tricking a user into viewing a malicious VML document containing an overly long "fill" method inside a "rect" tag with the Internet Explorer browser.

Successful exploitation allows execution of arbitrary code with the privileges of the application using the vulnerable functionality in the library.

其他注意事項:
-愈來愈多外國惡意網站使用 VML Exploit ,情況令人擔心
-網上已有不同的Exploit code和 Exploit Constructors,要做一個Exploit 不用幾秒,相信很快會在國內出現
-Microsoft 可能會在近期發佈這個漏洞的修正檔 , 而不用等到10月的第二個星期
===============================

暫時解決方法:
1. 反註冊 vgx.dll 檔案
a) 按 開始 ---> 執行
b) 按 [Copy to clipboard] 複製以下所有文字

CODE:
regsvr32 /u "%CommonProgramFiles%\Microsoft Shared\vgx\vgx.dll"
[Copy to clipboard]

c) 貼上文字到 執行 的空格, 按 確定

現在很少網頁會使用 Vector Markup Language , 反註冊 vgx.dll對你平時瀏覽網頁沒太大影響

2. 使用ZeroDay Emergency Response Team(ZERT) 的非官方修正檔
http://www.isotf.org/zert/

a) 下載VML非官方修正檔
http://www.isotf.org/zert/patch/zert2006-01.zip
b) 解壓,之後去到ZPatch\Release,執行ZVGPatcher.exe
c) 請先關閉所有正在使用的程式 (eg. IE,Outlook,QQ等等), 按 Patch , 如果成功則顯示 Patched successfully!
d) 你可以到下面的網頁做測試,如果成功你就會看到紅色正方形,不成功/還是有漏洞就會出錯
http://www.isotf.org/zert/testvml.htm

注意:
-這是非官方修正檔,用後如果有任何問題,請自行負責
-當 Microsoft 官方修正檔出來時, 請先再次執行 ZVGPatcher.exe , 按 Rollback 還原 vgx.dll ,然後才裝上 官方修正檔!


3. McAfee VirusScan Enterprise(MVSE) 8.0i 的用戶, McAfee AVERT 已確認 MVSE 的Generic Buffer Overflow Protection可以防止你的電腦受到攻擊

4. Kerio Personal Firewall 4 的用戶,你們可以增加IDS Sig. 來過濾部份 VML Exploit
a) 用記事本打開 X:\Program Files\Sunbelt Software\Personal Firewall 4\Config\IDSRules\bad-traffic.rlk (X:\為你的System Drive)
b) 按 [Copy to clipboard] 複製以下所有文字

CODE:
# Submitted 2006-09-19 by Chris Harrington
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"BLEEDING-EDGE EXPLOIT Possible MSIE VML Exploit"; flow:established,from_server; content:"<html xmlns|3a|v=|22|urn|3a|schemas-microsoft-com|3a|vml|22|>"; nocase; reference:url,sunbeltblog.blogspot.com/2006/09/seen-in-wild-zero-day-exploit-being.html; classtype:misc-attack; sid:2003106; rev:1
[Copy to clipboard]

c) 貼上到新的一行 ---> 儲存 ---> 重新啟動你的電腦

5. BlackICE PC Protection/BlackICE Server Protection,請更新到CPP版本,就可以過濾VML Exploit
你可以到下面的網頁做測試,如果成功你就會看到紅色正方形,不成功/還是有漏洞就會出錯
http://www.isotf.org/zert/testvml.htm
咖啡
進入後
已刪除 iexplore.exe C:\Documents and Settings\hnxiaoyao\Local Settings\Temporary Internet Files\Content.IE5\O9W5ER8R\testvml[1].htm Exploit-VMLFill (特洛伊)
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-27, 05:05 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設
IE的矢量標記語言 (VML)漏洞修正檔已經發佈??

不知道是不是,大家的系統有沒有自動更新?
for xp sp2
http://www.microsoft.com/downloads/d...4-e4823ff6d0a9



for IE6 sp1(windows 2000)

http://www.microsoft.com/downloads/d...4-64f3fed578ff




for server 2003

http://www.microsoft.com/downloads/d...b-3a9ddfdc3e27

微軟匆忙修補VML漏洞

大家對VML漏洞事件應該很熟悉了,微軟原計劃在10月10日放出修正檔,不過我們昨天為您報道過一個名叫「WebAttacker」的軟件已經讓攻擊變得輕而易舉,這個軟件週末出現,已經被大批攻擊者利用。

在各方面的壓力之下,微軟也頂不住了,提前發佈了本來應該每月一次例行修補時候發佈的修正檔,這種行為對微軟來說是非常罕見的。

安全專家建議人們盡快修補漏洞,另外那些使用工作區的人們需要先將設置改回原來的樣子才能應用修正檔。修正檔可以利用Windows內置自動升級功能下載,或者直接到微軟自動更新網站更新。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 

« 上一主題 | 下一主題 »


發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章
論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:59 PM

《 史萊姆的第一個家 》 - 論壇存檔 - 返回頂端

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1