阿萌直通车(39):“缝缝补补”再看图──微软又出新漏洞,小心打开图片文件
软件世界
国庆大假期间,大家在家中用电脑看图时可要提防病毒危害哟!微软安全中心发布了9月漏洞安全公告,其中MS04-028所提及的GDI+漏洞,危害等级被定为“严重”。利用这个严重的漏洞,病毒编写者可以构造出恶意JPEG文件,用户在通过各种方式浏览图片的时候会出现系统崩溃现象,同时又使自己的机器可以运行其他恶意代码,包括各种病毒、非法控件的代码,造成木马病毒、蠕虫病毒非法侵入本地计算机。
由于众多软件都调用了这个动态链接库处理JPEG图片,使得该漏洞的涉及面非常广,如Windows XP SP1、Mcrosoft Office 、IE、IM软件等等,而Windows XP SP2不受其影响。因此,针对这个漏洞打补丁的方法与以往不同,需要对众多涉及到的工具都依次打上补丁,以防止程序崩溃与病毒破坏。为了给大家打一剂强效预防针,阿萌在这里给大家说说针对这个漏洞具体打补丁的方法:
一、病毒感染症状
如果系统未打该补丁,当在资源管理器中浏览到恶意JPEG文件时,会导致资源管理器的崩溃,现象如图1。
使用Windows XP自带图像查看器打开恶意JPEG时,会导致Windows XP自带图像查看器的崩溃,现象如图2。而打完补丁后,则可以正常浏览恶意JPEG文件。
二、全面行动,打上新补丁
1.给系统打补丁
打开http://www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx页面,点击“在Windows Update中检查更新”,选择更新该漏洞补丁(KB833987)(图3)。
2.给Office打补丁
打开http://office.microsoft.com/zh-cn/officeupdate/default.aspx页面,选择“在Office Update中检查更新”。在Office升级页面中选择“检查更新”,选中相应的补丁安装,如图4、5。
3.给微软其他产品打补丁
Windows XP和Windows Server 2003以外的版本要打该补丁。可以打开http://www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx页面,点击“检查受影响的图像处理软件”,在弹出如下对话框中选择“I Agree”,然后按“Continue”按钮,在弹出的控件中选择“是”。则GDI+ Detection Tools会返回需要更新的地址链接列表,用户可以根据链接进行相应安装。
4.给其他软件打补丁
腾讯QQ 2004 正式版SP1已经针对此漏洞打了相应的补丁。如何检查其他软件是否打过补丁,可以打开“我的电脑”,按F3键,选择“搜索所有文件和文件夹”,在文件名中填写“GDIPlus.dll”进行搜索。查找哪些软件自带了GDIPlus.dll 文件,如果发现某软件自带了GDIPlus.dll,就要查询此软件是否更新或如何更新。
欲了解更多有关此漏洞信息,可登录到http://db.kingsoft.com安全网站查询。