资料来源：绿盟科技

受影响的软件及系统：
====================
Microsoft Windows 2000
Microsoft Windows XP 
Microsoft Windows Server 2003
Microsoft Windows Vista

综述：
======
Microsoft Windows在处理畸形的动画图标文件时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。在本公告发布之时，目前微软尚未给出该漏洞的补丁程序。

分析：
======
Microsoft Windows 的user32.dll中用于处理动画光标的LoadAniIcon()函数没有正确的验证动画光标文件中所提供动画光标文件头的大小，存在栈溢出漏洞。

该函数可能在很多场合被调用。例如，WEB站点可能使用动画光标文件指定鼠标指针停留在超级链接上时所应使用的图标，资源管理器在打开包含动画光标文件的文件夹时会解析该文件的内容作为文件图标。也就是说，入侵者可以通过在网页中插入恶意代码，或者发送恶意邮件，或者将动画光标文件拷贝到共享目录等方式来进行入侵。

值得注意的是，资源管理器在遇到.ani、.cur或.ico等扩展名时会试图调用LoadAniIcon()函数进行解析，其它扩展名则不会，但是在网页中插入恶意动画光标时，光标文件的扩展名则没有限制，譬如.jpg。

该漏洞的影响范围十分广泛，涵盖了Windows 2000/XP/2003/Vista的所有版本，并且可以由多种途径触发，导致执行任意指令，所以威胁非常大。目前国内已经有入侵者利用该漏洞进行“网站挂马”。

解决方法：
==========
在微软推出相应安全补丁之前，我们建议您采取如下措施减轻安全威胁：

1、以文本方式而不是HTML方式打开邮件。这可以避免被入侵者通过发送邮件的方式进行攻击。

2、和以往的很多漏洞不同，这个漏洞也可能影响FireFox和Opera等浏览器。使用这些第三方浏览器可以降低被攻击的可能，但并不能绝对避免攻击。所以我们建议在微软发布安全补丁之前，尽可能减少使用任何浏览器访问网站。即使是那些合法的站点也可能因为被入侵而插入恶意代码。在必须访问的时候，应尽可能使用FireFox或Opera等浏览器。

3、打开资源浏览器的“工具->文件夹选项”菜单，在“Web 视图”中选择“使用Windows 传统风格的文件夹”。这个配置可以避免在资源浏览器中打开包含恶意动画光标文件而导致的攻击。

4、如果您的操作系统是Windows XP/2003/Vista，请参考下面这个链接，将DEP配置为“为除下列选定程序之外的所有程序和服务启用 DEP”：
http://www.microsoft.com/china/technet/security/prodtech/windowsxp/depcnfxp.mspx
这并不能消除漏洞，但是可以大大降低因为该漏洞而被入侵的风险。

附加信息：
==========
http://www.microsoft.com/technet/security/advisory/935423.mspx
http://www.kb.cert.org/vuls/id/191609

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。