折乡镇奏为叠 编辑本段 协议引起漏洞
微软安全公告MS04-015
安全漏洞CN-VA04-21
发布日期:2004-05-18
漏洞影响:远程执行代码
漏洞评估:中危
折叠 编辑本段 漏洞介绍
2015年5月11日,微软公布了存在于Win析优着心群威dows XP和Windows Serve跳其触以喜r 2003两款操作系统中的安全漏洞。微软表示,该安表机诉选密和全漏洞为黑客远程执行恶意代码提供了可乘之机。据悉附还,微软公司将该安全测脸否载速漏洞定为二级危险,即"重大级"。而赛门铁克则将该漏洞视为"高风险"级别,并表示,如果该漏洞被黑客所利用,后果则不堪设想。
微软公司表示,该漏洞主要是由于Windows的"帮助和支持中心"在验证乙波站伯品福所发送信息时的验证方式所致。该漏洞的安全补丁已经发布在公司的网站上,微软建议这两款操作系统的用户尽快下载并安装该补丁程序。至于该漏洞的威胁等级,微软安全响应中心的安专设烈城模全程序经理Stephen Toulouse表示,只有当无需用户进行任何操作即被攻击时,微软才将该漏洞视为最高级安全漏洞。因此,微软将此次发现的安全漏洞视为二级威胁。据微软和赛门铁克称,黑客要利用该漏洞对计算机进行更新,很有可能将事先某个恶意站点伪装成"系统更新地址",然后再引诱计算机用户执行某些操作。
折叠 编辑本段 中心分析
"帮助和支持中心(HSC)"是window中的帮助功能,可提供类似于是否需要下载安装更新软件等各种帮助。HCP协议可以甚征通过URL链接来开启帮助和支持中心功能,与能够通过标有http协议的URL能够开启ie浏览器的功能非常相似。
"帮助和支持中心"存在一个远程执行代码漏洞,导致此漏洞的原因是"帮助取环和支持中心"处理 HCP U到验程飞名历酒术RL 验证的方式。攻击者可以通过建立恶意的 HCP URL 来白话利用此漏洞,如果用户访问了恶意 Web 站点或查看了恶意的电子邮件,此恶意的
HCP URL 就可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。不过,要利用此漏洞,需要执行大量用户交互。
要利用此漏洞,攻击者必须拥有一个恶意 Web 站点,然后诱使用户查看该 Web 站点。攻击者还可能创建一个包含特制链接的 HTML 电子邮件,然后诱使用户查看该 HTML 电子邮件并单击恶意链接。如果用户单击了这个链接,将会使用攻击者选择的
HCP URL 打开一个 Internet Explorer 窗口。不过,此时还需要更多用户交互操作。在单击此链接后,会提示用户执行几项操作。只有在用绝测美何洲距每混五块户执行这些操作之后才会遭到攻击。
成功利用此漏洞的攻击者可以完想日急首全控制受影响的系统,其中包括:安装程序;查看、更改或删除数据;或听社刻艺愿上里出者创建拥有完全权限的新帐户等。
足呼元对学益如果一个用户以管理权限登录,攻击者利用此漏洞可以完全控制受此漏洞影响的系统,包括安装程序、查看、修改、删除数据;或者建立拥有所有权限的新帐号。拥有较少权限的粒用户比那些拥有管理权限的用户相对危险小。
折叠 编辑本段 受影响版本
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
折来落完叠 编辑本段 未受影响平台
Microsoft Windows NT® Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Win束示dows NT Se部皮变迅右预还铁方积浓rver 4.0 Terminal Server Edition Service Pack
6
Mi几风crosoft Windows 2000 Service Pack 2
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 98, Micr任osoft Windows 98 Second Edition (SE)
Microsoft W皮并信准仍法斗indows Millen沿nium Edition (ME)
折叠 编辑本段 解决方案
用户应该尽早安装补丁。
折叠 编辑本段 临时解决办法
如果您无法及时的安装相应的补丁销端掉秋宣古求程序,你可以使用以下几种方法,这些方法已经经过Microsoft测试。虽然这些变通办法不能从根本上纠正此漏洞,但它们有助于阻塞已知的攻击述帝月额鲁权原计般媒介:
注销 HCP 展衡协议
为帮助阻止攻击,可通过品益掉死删除以下注册表项注销 H穿吸封受CP 协议:HKEY_CLASSES_ROOT\HCP。为此,可执行以下步骤:
1.单击"开始",然后单击"运行"。
2.键入reg培敌英弱跑车民感最edit, 然后单击 "确定"。注册表编辑器程序启动。
3.展开 HKEY_CLASSES_ROOT, 突出显示 HCP 项。
4.右键单击HCP项,然后单击 "删除"。
注意:注册表编辑器使用不当会导致严重的问题,也许需要重新安装。
变通办法的影响:注消 HCP 协议会中断本机中所有使用 hcp:// 的合法帮助链接。
使用纯文本来阅读邮件
如果使用的是 Outlook 2002 或更高版本,或者使用的是 Outlook 怕给酸Express 6 SP1 或更高版本,请用纯文本格式阅读电子邮件,帮助保护自己免受来自HTML 电子邮件攻击媒介的攻击。变通办法的影响:用纯文本格式查看的电子邮件中不会包含图片、特殊字体、动画或其他富格式内容。
补丁下载照粮卫陈买房简活节:
Microsoft Windows XP and Microsoft Windows XP Service Pack 1 下载更新[中文]
Microsoft Windows X斤称的待波P 64-Bit Edition Service Pack 1 下载更新[英文]
演银载这念粮聚协起Microsof低说敌各t Windows XP 64-Bit Edition Version 2003 下载更新[英文]
Microsoft Windows Server 20土容伯汉求往活03 下载更新[中文]
Microsoft Windows Server 2003 64-Bit Edition 下载更新[英文]
折叠 编辑本段 新型漏洞
简介
2010年6月10日,WindowsXP爆出一个新的HCP漏洞:
微软安全公告2219475
安全漏洞CVE-2010-1885
发布日期:2010-06-10
漏洞影响
远程执行代码
漏洞评估
高危
漏洞描述
微软刚无财刚发布6月补丁,WindowsXP就又曝出一个新型HCP协议漏洞。
经360安全中心验证,当WindowsXP用户使用IE系列浏览器打开挂马网页,或是播放"染情跑刻娘风绿转毒"的音乐文件时,电脑将自动弹出"帮助和支持中心",并自动下载运行木马程序,从而被黑客任意遥控宪步呼小摆布。HCP协议用于Windo生京密七细经ws的"帮助和支持中心",由于IE浏览器默认可以利用该协议打开"帮助和支持中心",用户一旦访问攻击HCP协议漏洞的挂马网页,黑客预先设感约有司定的恶意脚本将自动运行起来,并且自动打开Windows"帮助和支持中心",而木马就会在这个时候侵入网民电脑。IE用户如果看到"Windows'帮助和支持中心"自己弹了出来边耐期处治万叫烧斯技列,说明电脑已经受到了心溶沙步硫七加体挂马网页的攻击,必须尽快使用360安全卫士、360杀毒等安全软件进行全盘扫描杂查杀。除挂马网页外,黑客还可以把漏洞攻击代码嵌入到ASX等音乐媒体文件中,当网民打开这些"染毒"音乐时,电脑同样会中招。也就是说,只要是WindowsXP用户,即便平常不使用IE浏览器,也会受到漏洞的危害。
折叠 编辑本段 防漏洞方案
微软官方已经确认HCP协议漏洞(微软安全建议编号:2219475),但并未透露何时发布官方补丁。360安全中心建议网民,在微软发布官方补丁修复HCP协议漏洞前,应按照如下方案防范漏洞攻击:
1、安装使用360安全卫士7.1正式版,自动提示WindowsXP用户以临时补丁屏蔽HCP协议漏洞,在微软发布官方补丁时可以完全兼容。同时,360"木马防火墙"采用独创的"亿级云防御"技术,能够全方位主动防御木马的入侵攻击;
2、如果未能及时安装使用360临时补丁,在看到电脑自动弹出Windows"帮助和支持中心"的情况时,应尽快使用有效的安全软件全盘扫描查杀木马病毒;
3、非360用户可暂时手工关闭HCP功能,在微软发布补丁后再重新开启。