9月14日微软发布了修补JPEG文件溢出漏洞的安全更新程序MS04-028《JPEG 处理时 (GDI+) 的缓冲区溢出可能允许执行代码的安全公告》以来,各个安全网站和黑客论坛内十分活跃。针对微软GDI+漏洞的新攻击代码陆续出现,其散播范围也越来越广,而该JPEG威胁又被微软视为“严重级”安全漏洞,因此其危害可想而知。一种新型的“图片病毒”有可能随时爆发。
JPEG图片漏洞存在于微软提供的一个用于图形开发的动态链接库(Gdiplus.dll)中,电子图片文件会被该系统文件使用,从而可被病毒制造者加入各种病毒代码,以用于进行偷盗密码、进行网络攻击的重要手段。该程序已经广泛应用于各种图形程序的开发,但是,系统文件只在Windows XP及以上系统中才被默认安装,因此大部份常用的非微软的应用软件在安装时会自带该文件。由于众多软件都调用了这个动态链接库处理JPEG图片,使得该漏洞的涉及面非常广,操作系统,如WinXP SP1、办公软件,如MS Office SP3、聊天工具,如QQ2004、图像处理软件,PhotoShop等等。
注意:
1、WinXP SP2不受其影响,不要再给打KB833987补丁;
2、应对JPEG图片漏洞不能只打系统补丁,为了真正防止该漏洞的危害,应该把这些第三方软件所使用的Gdiplus.dll文件全部替换为已经修补好的Gdiplus.dll文件。
漏洞的危害:
使用WinXP自带图象查看器打开恶意JPEG文件时,会导致WinXP自带图象查看器的崩溃:
而打完补丁后,则可以正常浏览恶意JPEG文件:
预防措施:
一、给系统及及微软应用程序都打上补丁:
1、Microsoft Windows XP、Microsoft Windows XP Service Pack 1:
http://download.microsoft.com/download/0/6/9/069a5152-2932-4407-be60-adbc9e8fa4f7/WindowsXP-KB833987-x86-CHS.EXE
2、Microsoft Windows Server 2003 :
http://download.microsoft.com/download/f/a/b/faba4abe-2735-4018-a947-0ae9f0162b09/WindowsServer2003-KB833987-x86-CHS.EXE
3、Internet Explorer 6 Service Pack 1 :
http://download.microsoft.com/download/9/1/d/91d72bac-45e5-404b-8705-32da6377a7d4/IE6.0sp1-KB833989-x86-CHS.exe
4、Microsoft Office XP:
http://download.microsoft.com/download/3/7/0/37052d05-3500-4a8c-9715-404b41d6f735/officexp-kb832332-client-chs.exe
5、Microsoft Office 2003 :
http://download.microsoft.com/download/7/0/f/70f72655-7058-4892-a835-e7bf0ba1b51c/office2003-kb838905-client-chs.exe
其余更新请浏览Microsoft 安全公告 MS04-028:
http://www.microsoft.com/china/technet/security/bulletin/MS04-028.mspx
二、更新非微软应用程序:
以下诸多方法,任用其一即可。
1、更新法:
①打开“我的电脑”
②按F3,选择“搜索所有文件和文件夹”,在文件名中填写“GDIPlus.dll”进行搜索。查找哪些程序自带了GDIPlus.dll 文件,如果发现某软件自带了GDIPlus.dll,请您与该软件的生产商联系,查询是否更新或如何更新。
如:腾讯QQ需要更新到QQ 2004 正式版 sp1,该版本修正了GDI+漏洞:
http://im.qq.com/qq/mo.shtml?/download/qq2004.shtml
2、替换法:
即将第三方软件所使用的Gdiplus.dll文件全部替换为已经修补好的Gdiplus.dll文件。
①使用工具替换:
金山毒霸"JEPG病毒及漏洞检测"工具可以全盘扫描磁盘上的所有Gdiplus.dll文件,包括系统及第三方应用软件中的该文件。将存在漏洞的Gdiplus.dll文件找出来,并可自动将其修补。
http://db.kingsoft.com/download/3/219.shtml
②手工替换法:
1、请到微软官方网站下载没漏洞的Gdiplus.dll安装:
http://download.microsoft.com/download/a/b/c/abc45517-97a0-4cee-a362-1957be2f24e1/gdiplus_dnld.exe
2、打开"我的电脑", 按F3,选择"搜索所有文件和文件夹",在文件名中填写"GDIPlus.dll"进行搜索。查找哪些程序自带了GDIPlus.dll 文件;
3、将从微软网站中下载安装得到的Gdiplus.dll文件替换这些文件。
附:使用了Gdiplus.dll文件的常用第三方软件,如果您装了以下软件请注意检查。目前还有一些软件使用了这个系统文件,最简单的办法是,通过操作系统查找文件功能,查找GDIPLUS.dll文件,看看有多少软件在使用。
使用了GDIPLUS.dll文件的常用软件如下:
QQ 2004
Adobe ImageReady CS
Dreamweaver MX 2004
PhotoShop
Discreet 3dmax6.0
MyIM即时通讯软件 2004
快递通 v1.8
WPS Office
剑侠情缘网络版
Nero BURNING ROM 6
中毒后的查杀:
各大杀毒软件更新病毒库到最新后,都可以查杀JPEG恶意代码图片病毒。
金山JPEG恶意代码图片病毒专杀:http://db.kingsoft.com/download/othertools/DubaTool_JPEG.exe
江民Jpeg文件漏洞防毒“疫苗”下载:http://update.jiangmin.com/download/KVPatch.exe
瑞星图片病毒专用查杀工具(含内存补丁工具)下载:http://it.rising.com.cn/service/technology/RS_RavJPG.htm
(DVOL本文转自:中国DV传媒 http://www.dvol.cn)
