中央政府网站的脚本注入- -| 回首页 | 2006年索引 | - -中央政府网站的脚本注入(2)

MS06-001提前发布 修补WMF 0day漏洞

关键词MS06-001    WMF    0day    漏洞                                          

   

      当地时间2006年1月5日,微软发布了2006年第一个安全更新程序MS06-001,等级为严重,修补了2005年12月28日被曝光的WMF 0day漏洞。利用该漏洞,黑客可以制作恶意的WMF文件放置在网站上或通过邮件等发送,用户一旦浏览到恶意WMF文件,内嵌其中的代码就被执行。
      微软例行发布补丁的时间是每月第二个周二,此次MS06-001的提前发布与新漏洞被滥用的情况有关。据国外机构AV-Test统计,自从WMF 0day漏洞被发现的短短8天内,就出现了206个针对新漏洞的恶意样本。KV升级至1月5日病毒库以后,可查杀已知和未来所有利用该漏洞的恶意样本。

MS06-001补丁技术分析:

补丁只更新了gdi32.dll一个文件,下面是被修改部分:

.text:77F24914                 movzx   ecx, word ptr [ebx+6]
.text:77F24918                 push    ecx
.text:77F24919                 call    sub_77F42D66    ; 补丁在此
.text:77F2491E                 test    eax, eax
.text:77F24920                 jz      loc_77F2506C    ; default
.text:77F24926                 push    0
.text:77F24928                 lea     eax, [ebx+0Ah]
.text:77F2492B                 push    eax
.text:77F2492C                 movzx   eax, word ptr [ebx+8]
.text:77F24930                 push    eax
.text:77F24931                 push    ecx
.text:77F24932                 push    dword ptr [ebp-7Ch]
.text:77F24935                 call    Escape
.text:77F2493A                 jmp     loc_77F23F23

补丁函数sub_77F42D66代码如下:

.text:77F42D66 sub_77F42D66    proc near               ; CODE XREF: .text:77F24919p
.text:77F42D66
.text:77F42D66 arg_4           = dword ptr  8
.text:77F42D66
.text:77F42D66                 mov     edi, edi
.text:77F42D68                 push    ebp
.text:77F42D69                 mov     ebp, esp
.text:77F42D6B                 xor     eax, eax
.text:77F42D6D                 cmp     [ebp+arg_4], 9  ; SETABORTPROC
.text:77F42D71                 jz      short loc_77F42D7A
.text:77F42D73                 cmp     [ebp+arg_4], 0Fh ; MFCOMMENT
.text:77F42D77                 jz      short loc_77F42D7A
.text:77F42D79                 inc     eax
.text:77F42D7A
.text:77F42D7A loc_77F42D7A:                           ; CODE XREF: sub_77F42D66+Bj
.text:77F42D7A                                         ; sub_77F42D66+11j
.text:77F42D7A                 pop     ebp
.text:77F42D7B                 retn    4
.text:77F42D7B sub_77F42D66    endp


从上面代码可见,MS06-001做的事情很简单,忽略了SetAbortProc()和注释(MFCOMMENT)两类记录。

【作者: daishuo】【访问统计:】【2006年01月6日 星期五 11:12】【 加入博采】【打印

Trackback

你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=4112846

博客手拉手
2005中国报业报告 xiaoxiangwuji
中学生早恋:一个让人放不下的话题--ZT 天上彩虹
05十大经济人物 xvvc
[读书笔记]夜半歌风 小丫头
小慧好 hui27sxy
在在 古水叶
数学的魅力 北冰阳
如何应对那些思维混乱者 zsukwh
2006年的维也纳新年音乐会 jindia
1月6日·努力的一天 卤蛋

回复
验证码:   
评论内容: