Windows資源管理器保存搜索文件時存在漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】Microsoft Windows是微軟髮布的非常流行的作業系統。Windows資源管理器沒有正確地解析保存搜索（.search-ms）文件。如果用戶受騙打開並保存了特製的.search-ms文件的話，Windows資源管理器就會退出並以可利用的方式重新啟動，導致在用戶系統上執行任意指令。

發佈日期：2008-07-08

更新日期：2008-07-09

受影響系統：

Microsoft Windows Vista SP1

Microsoft Windows Vista

Microsoft Windows Server 2008

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 30109

CVE(CAN) ID: CVE-2008-1435

Microsoft Windows是微軟髮布的非常流行的作業系統。

Windows資源管理器沒有正確地解析保存搜索（.search-ms）文件。如果用戶受騙打開並保存了特製的.search-ms文件的話，Windows資源管理器就會退出並以可利用的方式重新啟動，導致在用戶系統上執行任意指令。

<*來源：Microsoft

鏈結：http://secunia.com/advisories/30953/

http://www.microsoft.com/technet/security/bulletin/ms08-038.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA08-190A.html

*>

建議：

----------------------------------------------------------------------------

臨時解決方法：

臨時更改與“.search-ms”文件擴展名有關的文件類型，在提升的命令提示符處輸入以下命令：

assoc .search-ms=xmlfile

修改註冊表以禁止用戶打開保存搜索文件或訪問保存搜索文件夾。

1. 單擊“開始”，單擊“運行”，在“打開”框中鍵入Regedit，然後單擊“確定”。

2. 找到並展開下列註冊表子項：

HKEY_CLASSES_ROOT\SearchFolder

單擊“編輯”，然後單擊“許可權”

3. 單擊“高級”。

4. 單擊清除“包括可從該對象的父項繼承的許可權”復選框。系統將提示您單擊“複製”、“刪除”或“取消”。單擊“刪除”，然後單擊“確定”。

5. 您會收到一則消息，說明沒有人能夠訪問此註冊表項。單擊“是”，然後單擊“確定”關閉“SearchFolder的許可權”對話方塊。

登出SearchFolder文件類型。

使用交互方法

1. 單擊“開始”，單擊“運行”，在“打開”框中鍵入Regedit，然後單擊“確定”。

2. 找到並隨後單擊下列註冊表子項：

HKEY_CLASSES_ROOT\SearchFolder

3. 單擊“文件”功能表並選擇“導出”。

4. 在“導出註冊表文件”對話方塊中，鍵入SearchFolder_file_association_registry_backup.reg，然後單擊“保存”。

5. 按鍵盤上的“Delete”鍵刪除該註冊表項。當系統提示您通過“確認項刪除”對話方塊刪除註冊表項時，單擊“是”。

使用被管理的部署腳本

1. 使用包含下列命令的被管理的部署腳本創建註冊表項的備份副本：

Regedit.exe /e SearchFolder_registry_backup.reg
HKEY_CLASSES_ROOT\SearchFolder

2. 接下來，將下列內容保存到擴展名為.REG的文件，例如

Delete_SearchFolder_file_association.reg：

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\SearchFolder]

3. 在目標電腦上的提升命令提示符處，使用下列命令運行以上註冊表腳本：

Regedit.exe /s Delete_SearchFolder_file_association.reg

廠商補丁：

Microsoft

---------

Microsoft已經為此發佈了一個安全公告（MS08-038）以及相應補丁:

MS08-038：Vulnerability in Windows Explorer Could Allow Remote Code Execution (950582)

鏈結：http://www.microsoft.com/technet/security/bulletin/ms08-038.mspx?pf=true

(責任編輯：董建偉)