太平洋电脑网GDI+专题(MS08-052)

	太平洋：近段时间，许多太平洋的网友在社区中热议微软GDI+漏洞问题，在一些关于GDI+漏洞的细节上，许多网友存在疑问，作为安全厂商，超级巡警团队可以具体谈谈这个事件吗？

	超级巡警：感谢太平洋电脑网对此次安全事件的关注。先谈谈“漏洞”，它是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这种缺陷或错误可以被电脑黑客利用，而给电脑用户带来威胁。当然，世上没有完美无漏洞的软件，即便是软件霸主微软也会定期公布自己的软件中存在的“漏洞”。在微软公布漏洞的同时会发布该漏洞的补丁，用户通过系统的自动更新功能获取补丁，进而修复漏洞。 2008年9月10日，微软公司在本月更新中，公开了了一个关于GDI+的漏洞（MS08-052）。黑客可以依据GDI+漏洞的特点制作恶意图片，而含有GDI+漏洞的电脑系统一旦浏览这类图片就可能中招。黑客则可以通过在网上挂马、在BBS社区、QQ等聊中散播这类“危险图片”，布好陷阱，然后守株待兔。举个简单的例子：当黑客把含有病毒的QQ表情图片发到QQ群里面，那么群里面所有用户就有可能中毒。

	太平洋：“GDI+”是什么意思？已安装杀毒软件可以防范GDI+漏洞带来的威胁么？

	超级巡警： GDI是指MicrosoftWindows 图形设备接口 (GDI) 允许应用程序在视频显示和打印机上使用图形和格式化文本。顾名思义，GDI+是以前版本GDI的继承者，出于兼容性考虑，Windows XP仍然支持以前版本的GDI。漏洞是由于 GDI 未正确处理特制的 EMF 或 WMF 图像文件中的格式错误的标题时缓冲区溢出造成的。关于GDI漏洞的原理的详细描述比较抽象，普通用户只要了解它的危害就可以了。成功利用GDI+漏洞的黑客可以运行任意代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。通过在入侵用户机器上下载海量的木马、病毒的最新变种，让杀毒软件彻底瘫痪。面对微软高危漏洞的挑战，目前多数杀毒软件还是很脆弱的。

	太平洋：原来GDI+漏洞威胁如此严重，那么该漏洞影响的系统和软件有哪些？用户怎么判断自己机器上是否存在GDI+漏洞？

	超级巡警：简而言之，受GDI+影响的软件和系统：简而言之，所有当前支持的 Windows 系统均受到威胁。但Windows XP Service Pack 3 不受此漏洞的影响。受GDI漏洞其影响的微软操作系统包括:（点击查看完整列表）此外还包括受GDI+漏洞影响的微软以外的应用软件，由于这类软件数量十分庞大，包括photoshop等图形处理软件，QQ类的聊天工具、暴风影音类的涉及图形处理等一系列软件。关于第三个问题，如何检测用户机器上是否存在GDI+漏洞，推荐使用超级巡警GDI+漏洞修复工具扫描系统。如图：扫描显示此测试机器含有大量GDI+漏洞。

	太平洋：网上一些观点说GDI+漏洞修补比较复杂，这又是为什么呢？有什么好的解决方法？超级巡警：因为目前微软的补丁可以修补自己的程序的GDI+漏洞。而GDI+漏洞还潜伏在各种浏览器、看图工具、QQ等聊天工具、影音播放工具，如果你的机器内包含这些应用软件，而这些软件厂商没有更新自己的GDI+相关组件，那么同样会造成安全隐患！因此我们建议大家使用超级巡警GDI+漏洞（MS08-052）修复程序来进行补丁修复。目前已有黑客开始注意该漏洞并研究利用方法，超级巡警团队也会在最近一段时间内跟踪该漏洞并提供相应解决方案。还有一点，因为前一段时间的所发生的“番茄花园”事件。当然，我们倡导用户安装正版软件，仅从安全角度，从我们安全厂商的职责出发，盗版系统用户面对微软系统漏洞的补丁，的确有一些顾虑。在2005年，微软曾经公开表示不限制盗版XP用户从微软服务器下载自动更新。微软的解释是：“如果大部分计算机系统都不能及时安装最新补丁，它们将会留下严重的安全隐患，这是十分危险的。而且病毒迅速在互联网上传播，这将波及到正版用户的安全。然而vista面世后，微软对盗版用户的态度有了转变，微软便开始加大盗版XP的打击力度，采取限制下载更新，提醒正版验证等。从整治番茄花园事件拉开帷幕，微软增大了打击盗版Windows XP力度，频繁的从屏幕的右下角弹出醒目的对话框：“无法完成正版验证……”“如果您的Windows副本不是正版，该软件将定期提请，帮助您采取适当的措施”。一些用户担心不同版本的微软系统用户很担心因为修补漏洞而被微软“锁定”，番茄花园这类盗版系统常常默认就是关闭自动更新。这给GDI+漏洞修补到来了严重障碍。所以我们推荐用户选择微软以外的第三方漏洞修补工具。

GDI+ VML 缓冲区溢出漏洞 - CVE-2007-5348

如果用户浏览包含特制内容的网站，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

GDI+ EMF 内存损坏漏洞 - CVE-2008-3012

如果用户打开特制的 EMF 图像文件或浏览包含特制内容的网站，则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

GDI+ GIF 分析漏洞 - CVE-2008-3013

如果用户打开特制的 GIF 图像文件或浏览包含特制内容的网站，则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建新帐户。

GDI+ WMF 缓冲区溢出漏洞 - CVE-2008-3014

如果用户打开特制的 WMF 图像文件或浏览包含特制内容的网站，则此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

GDI+ BMP 整数溢出漏洞 - CVE-2008-3015

如果用户打开特制的 BMP 图像文件，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。