:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
(Zero-day)Microsoft Windows Shell 含有可能允許遠端程式碼執行的弱點,請使用者切勿隨意不明網頁(2006/10/02)
 
詳細描述:
微軟Windows 作業系統被發現含有嚴重漏洞,可能允許被有心人士用來取得受駭電腦的系統控制權,漏洞影響遍及Windows 2000以上作業系統版本。

弱點起因於Windows Shell 的WebViewFolderIcon ActiveX 控制元件(webvw.dll) 中的"setSlice()"方法,在處理含有惡意參數的網頁時,造成系統記憶體緩衝溢位錯誤,讓惡意人士可藉由架設含有惡意檔案連結的網站或發送郵件附檔的方式,引誘使用者下載及開啟惡意檔案,使有心人士可能取得受駭系統完整控制權後,在受駭系統中植入木馬程式,藉以竊取敏感性資料。

此項弱點目前已經在網路上以木馬程式的型態散播,有些受駭網站被植入木馬程式後,讓使用者不知不覺中下載木馬程式到系統中,已有多家防毒廠商宣稱可以偵測到利用此項弱點的木馬程式,各家病毒名稱如下:
  • Bloodhound.Exploit.83 (Symantec)
  • JS_PLOIT.BC (Trend)
  • JS.CVE-2006-3730!exploit (CA)
  • JS/Exploit-BO.gen (McAfee)
微軟表示此項弱點會影響Windows 2000以上的作業系統版本,而Windows 2003 Server 與Windows 2003 Server Service pack 1 中,因為預設為開啟「增強式安全性設定」所以不受到弱點影響,經中華電信SOC測試後,此弱點可在完全修補的Windows XP SP2上執行,中華電信SOC建議使用者切勿隨意瀏覽網站或開啟來源不明的檔案,並保持系統修補狀況及防毒軟體病毒碼在最新的狀態,以降低受駭風險。並參考以下的緩衝措施:

  • 暫時停用IE中的Microsoft WebViewFolderIcon ActiveX 控制項
    1. 將下列登錄檔設定,貼入文字檔編輯器,並另存成".reg"檔案:(請將下列文字中斜線左右兩旁的空白移除)
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft \ Internet Explorer \ ActiveX Compatibility \ {e5df9d10-3b52-11d1-83e8-00a0c90dc849}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ ActiveX Compatibility \ {844F4806-E8A8-11d2-9652-00C04FC30871}] "Compatibility Flags"=dword:00000400
    2. 執行該登錄檔案套用設定

  • 注意:以上的緩衝措施將可能會導致某些頁面無法正常顯示。

參考資料:
 
 
下框