跳至主要内容

GDI+漏洞解密 看图片也能中招?『MS08-052』

什么是GDI,什么是GDI+

GDI是Graphics Device Interface的缩写,含义是图形设备接口,它的主要任务是负责系统与绘图程序之间的信息交换,处理所有Windows程序的图形输出,主要负责在显示屏幕和打印设备输出有关信息。

在 Windows操作系统下,绝大多数具备图形界面的应用程序都离不开GDI,我们利用GDI所提供的众多函数就可以方便的在屏幕、打印机及其它输出设备上输出图形,文本等操作。GDI的出现使程序员无需要关心硬件设备及设备驱动,就可以将应用程序的输出转化为硬件设备上的输出,实现了程序开发者与硬件设备的隔离,大大方便了开发工作。

顾名思义,GDI+是以前版本GDI的继承者,出于兼容性考虑,Windows XP仍然支持以前版本的GDI,但是在开发新应用程序的时候,开发人员为了满足图形输出需要应该使用GDI+,因为GDI+对以前的Windows版本中 GDI进行了优化,并添加了许多新的功能。

矢量标记语言 (VML) 是一种基于 XML 的交换、编辑和交付格式,用于 Web 上高质量矢量图像,以便满足生产力用户和图形设计专业人员的需要。 XML 是一种简单、灵活和基于开放文本的语言, 是HTML 的补充。系统会通过调用VGX.dll中函数操作VML。

GDI+漏洞危害

该漏洞将影响常见的图片文件格式GIF、EMF、WMF、VML、BMP,也就是说机器上有该漏洞的系统一旦打开(甚至不需要用户打开,只要程序解析该文件)包含有漏洞的利用代码的文件就会执行其中的任意代码。对于该漏洞黑客可以通过在网络上挂马、BBS社区中上传图片、QQ等聊天工具中发送图片或者表情来利用,一旦机器上有漏洞的用户看到该图片就会执行黑客指定的任意代码,比如下载执行木马、格式化硬盘等。由于很多第三方软件也含有该漏洞,所以简单的为系统打上补丁并不能彻底补上该漏洞,因此我们建议大家使用超级巡警GDI+漏洞(MS08-052)修复程序来进行漏洞修补。目前已有黑客开始注意该漏洞并研究利用方法,超级巡警团队也会在最近一段时间内跟踪该漏洞并提供相应解决方案。

相关报道:
微软整治盗版却让GDI+漏洞恶化

http://article.pchome.net/content-723262.html

微软爆出了号称史上最危险的GDI+漏洞,被黑客利用后,受威胁的用户浏览图片都可能会中毒。而漏洞修复却面临障碍,主要体现在两个方面:

第一:盗版用户不敢升级,怕被微软验证锁定。

由于前一段时间的微软打击番茄花园事件态度强硬,加之一些关于微软采用黑屏技术锁定盗版用户桌面的传闻,导致盗版用户因害怕招来正版验证补丁,而不敢开启window自动更新。这样很多用户机器上依然存GDI+系统漏洞,暴露在黑客威胁下。

其二:大量第三方软件也含GDI+漏洞,修补复杂。

GDI+属于微软的一种编程接口,其漏洞波及关联此接口的应用软件,单单的打系统补丁依然是远远不够的,GDI+漏洞还潜伏在各种浏览器、看图工具、QQ 等聊天工具、Office程序中,如果你的机器内包含这些应用软件,而这些软件厂商没有更新自己的GDI相关组件,那么同样会造成安全隐患。太平洋记者从超级巡警团队了解到,不仅微软官方软件含有GDI+漏洞,其他诸如QQ,暴风影音、腾讯软件、一些绘图工具软件也包含GDI+漏洞。

或被微软抛下,GDI+漏洞下的盗版用户

号称史上最严重的GDI+漏洞被微软曝光,而盗版xp用户处境尴尬,因为害怕正版验证,许多人没有开启自动更新功能(注:盗版系统的自动更新默认是关闭的)而让自己暴露处在威胁之中。

每个用户机器中都有大量的GDI+漏洞,盗版用户XP怎么办?

在2005年,微软曾经公开表示不限制盗版XP用户从微软服务器下载自动更新。对此,微软的解释是:"如果大部分计算机系统都不能及时安装最新补丁,它们将会留下严重的安全隐患,这是十分危险的。而且病毒迅速在互联网上传播,这将波及到正版用户的安全。" 微软的这个理由似乎是大公无私的为所有使用其操作系统的用户着想,现在看来,这一方面是微软对盗版的无奈;另一方面,盗版XP也增加了微软的市场份额,虽然无法通过销售正版软件获得收益,但是给微软品牌带来的潜在收益是无法用金钱来衡量的。

然而vista面世后,微软对盗版用户的态度有了转变,微软便开始加大盗版XP的打击力度,采取限制下载更新,提醒正版验证等。而且更明显的动作是宣布 "2008年停产OEM版XP系统,而所有的电脑厂商都将预装Vista",这被看作是微软强制推行vista的信号,或许这也从侧面反应出Vista的销量确实不佳。

从整治番茄花园事件拉开帷幕,微软增大了打击盗版Windows XP力度,频繁的从屏幕的右下角弹出醒目的对话框:"无法完成正版验证……""如果您的Windows副本不是正版,该软件将定期提请,帮助您采取适当的措施"。

最近,微软爆出GDI+漏洞,似乎暗示盗版XP用户:你们已经处在巨大的威胁当中,而用户如果开启自动更新修补GDI+漏洞,就有可能被提醒正版验证。这里笔者推荐使用超级巡警、360安全卫士这类非微软官方的漏洞修补工具,他们可以有效修补GDI+漏洞。但一个无法回避的实事摆在盗版用户xp面前,他们或许已经被微软抛弃了!

相关问题:

我是第三方应用程序开发人员,我的应用程序使用 gdiplus.dll。 我的应用程序是否容易受到攻击,如何进行更新?

答:重新分发 gdiplus.dll 的开发人员应该确保他们通过下载本公告中提供的更新来更新随其应用程序安装的 gdiplus.dll 版本。鼓励开发人员按照使用共享组件的推荐最佳方案执行操作。有关使用共享组件的最佳做法的详细信息,请参阅关于独立应用程序的 Microsoft 知识库文章 835322。

我正在开发包含可重新分发文件 gdiplus.dll 的软件。应该怎样做?

答:您应该为您的开发软件安装本公告中提供的安全更新。 如果已经随您的应用程序重新分发了 gdiplus.dll,您应该使用为您的开发软件下载此安全更新时获得的此文件更新版本向您的客户发布您的应用程序的更新版本。

使用微软以外的GDI+漏洞专用修补工具:

1、超级巡警GDI+漏洞专用修复工具

下载地址:

点击下载 http://download.pchome.net/utility/antivirus/others/detail-142273.html

2、安装畅游巡警来防范此类挂马行为。

点击下载 http://download.pchome.net/internet/safe/detail-139590.html

3、微软GDI+图片漏洞360专用补丁包下载地址:

点击下载 http://download.pchome.net/utility/antivirus/others/detail-142495.html

相关链接:

MS08-052 WMF漏洞分析及漏洞测试 http://www.sucop.com/html/1222327774.html

看图即中毒!GDI+漏洞防不胜防 http://article.pchome.net/content-718733.html

微软9月安全公告:4款危急更新补丁 http://article.pchome.net/content-712678.html

分析:高危GDI+漏洞(MS08-052) http://article.pchome.net/content-718747.html

强制Windows照片库以GDI形式显示图像 http://article.pchome.net/content-560537.html

超级巡警GDI+漏洞专用修复工具 http://download.pchome.net/utility/antivirus/others/detail-142273-0.html

微软新图片漏洞可导致木马传播 http://article.pchome.net/content-717455.html

GDI+ 中漏洞可能允许远程执行代码 http://wiki.clin003.com/wiki/Gdiplus

GDI http://wiki.clin003.com/wiki/GDI


------------------

评论

此博客中的热门博文

6岁小朋友在PSP上看到不该看的东西

美国佛州的一位母亲Thamtha Tovar为自己六岁的儿子在Manatee的沃尔玛购买了一个礼物,一台全新的PSP, 然而当这位六岁的小朋友打开此PSP的时候,映入眼帘的却是一位"一丝不挂"的美女,惊恐之下,小朋友向自己的母亲哭诉了自己的遭遇。 伟 大的母亲听说此事勃然大怒,愤然找到沃尔玛的负责人要求对此事件作出合理解释,为何刚购买的PSP里的记忆卡会有"美女"在里面。沃尔玛的工作人员如此说 道:"呃,你把机器带来过,我们把卡帮你取出来,然后我们会给您儿子免费提供一个新的游戏。"这位母亲说:"我很乐意,但是恐怕你们没有明白我说的话。" 沃尔玛的一位发言人称他们正在调查为何发生此事,寻求解决此问题,而Tovar女士则要求更换一台全新的PSP并要求沃尔玛为此事道歉。 ------------------ 洛阳生活信息点评网:http://luoyanglife.com/ 洛阳生活信息,我爱打折论坛:http://bbs.luoyanglife.com/ 河南招生考试网:http://www.edu-ha.com/  

照着做,你的人生一定很顺利!

  01.犯了错误就该诚实地认错——狡辩、诿过只会害了自己。   02. 朋友 之间要保持距离——这样的 友谊 才能长久。     03.钱追人,人追健康——有了健康,还怕挣不到钱么?     04.别轻易转行——转行的风险很高,最好不要轻率为之。     05.适度地抬高身价——在就业市场中,人也是一种商品。     06.把敬业变成 习惯 ——从长期看是为了自己。     07.运用累积法壮大资产——不求快,不求多,不中断。     08.忍一时,争千秋形势比人强时,必须忍。     09.与其你死我活,不如你活我也活——这就是双赢,是良性竞争。     10.以"播种"的 心态 经营人际关系——种子播得越早越坚韧。     11.做事切勿率性而为——率性而为只会害了自己。     12.遇到魔鬼型的主管时——接受他的磨练可让你的 性格 越来越坚韧。     13.不要当众和主管吵架——那会让你无路可走,只有走人。     14.向不同行业的人学习新知识——记住,要用请教的 态度 。     15.所有的困难都是好事——这是老天爷在磨练你,目的是把重任交给你。     16.用吃亏就是占便宜的心态 做人 做事——那样你就可以迅速长大。     17.不要在失意者面前谈论你的得意——那样 伤害 你的人际关系。     18.不要小看守时这件事——守时是对别人的尊重。     19.用 时间 来看人——时间是检验大师。     20.用打听来看人——把获得的信息汇总,就可以了解那个人。     21.建立一个朋友档案——以免人到用时方恨少。     22.扩大交友圈——主动出击,不要等别人上门找你。     23.保持交友的弹性——敌人也可以变成朋友。     24.要交 喜欢 "修理"你的朋友——这种朋友是你的 人生 导师。   25.毛遂自荐,好处多多——让别人看到你,知道你的存在,知道你的能力。     26.小心突然升温的 友情 ——对待这种友情的正确态度是:不推不迎,礼尚往来。     27.做老二,不做老大——老大没当好,容易变成老三老四。     28.做人要中规中矩——目的是赢得他人的尊重和信赖。   ...

FTP服务器关于断点续传权限的防范问题

FTP服务器关于断点续传权限的防范问题    假设ftp服务器中存在一个文件Readme.txt,文件大小为1000 bytes,连接上这个ftp服务器(假设我有写权限,ftp服务器是支持断点再传的),我本地中也有一个叫Readme.txt的文件,文件大小为 500 bytes。好了,我开始做坏事。    1、连接上这个ftp服务器(用系统自带的 ftp://ftp.exe/,在内网的可能无法使用,因为 ftp://ftp.exe/用的是port模式)    2、dir(查看Readme.txt大小,确定了是1000 bytes)    3、quote rest 1000(告诉ftp服务器我将要传送的文件是从文件位置1000开始)    4、send Readme.txt    5、dir(再次查看Readme.txt大小,现在Readme。txt变成1500 bytes了)    为什么Readme.txt会变大了?很简单,因为我本地的那个Readme.txt的500字节上传成功,并写入到ftp服务器中存在的那个 1000 bytes的Readme.txt文件中了。问题是出在第二条命令,如果没有第二条命令,我的第4个命令(Send Readme.txt),就会得到一个Permission Deny的错误,第二条命令是让ftp服务器信任我们将要进行一个断点再传的操作,如果没有第二条命令,ftp服务器将以为我们进行的是一个复盖原文件的操作(复盖原文件操作需要另外的权限才可以进行)。    这个问题只是在允许断点再传的FTP服务中存在,但现在90%的FTP服务程序都是允许断点再传的,所以这问题在普遍的FTP服务器都会存在。    防范方法:    如果一定需要给用户上传权限的话,最好的防范方法是每个用户都给他建立一个目录,将那个用户的权限完全锁在这个目录内,那么用户就没有权限可以查看其它用户的目录,也就是说无法造成以上所说的破坏。