警惕:Access 0day漏洞曝光,利用代码已在网上流传
[b]一、事件分析:[/b] 近日,网上曝光了一个Microsoft Access Oday漏洞。电脑上安装了Microsoft Access的用户如果浏览到黑客精心构造的网页木马,将会自动下载木马并保存到系统的启动目录内。目前,网络上已经有相关利用代码流传,超级巡警团队建议大家使用临时解决方案封堵漏洞,并安装畅游巡警来应对网页木马的威胁。
影响版本:Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003
Snapshot Viewer for Microsoft Access
不受影响的版本: Microsoft Office Access 2007
漏洞分析:Microsoft Office Access的Snapshot Viewer ActiveX控件可以让你从网络上打开一个Access的文件,但是不用安装一个标准的Access软件。由于没有对网络上的URL地址和本地保存路径做检查,导致可以保存网络上的文件到本地任意一个位置,如启动目录。
网页木马截图:
[align=center][img]http://bbs.sucop.com/images/default/attachimg.gif[/img] [img]http://bbs.sucop.com/attachments/20080710_440a91935aeca0685ce7QuLmWeT810L6.png[/img] [/align]
用户可以通过打开这个网页来检查自己计算机上是否存在该漏洞:[url=http://cy.sucop.com/Snapshot%20Viewer%20vlu%20test.html][color=#1a4e99]Snapshot Viewer漏洞测试页[/color][/url] 。如果计算机内有漏洞就会在启动目录生成一个test.exe文件(放心,这个文件是无害的) 。
[align=center][img]http://bbs.sucop.com/images/default/attachimg.gif[/img] [img]http://bbs.sucop.com/attachments/20080710_b769aa9a84ed7092c060nZmOOQPGFtCz.png[/img] [/align]
[b]二、解决方案[/b]
1、目前微软尚未提供升级补丁,我们建议用户暂时卸载Access或者使用临时解决方案:将下面内容保存为.reg文件,双击导入注册表:
-------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
-------------------------------------------------
2、安装畅游巡警拦截此类挂马攻击。
3、超级巡警稍后将升级漏洞补丁库,添加此漏洞并提供临时解决方案,用户可通过补丁检查中的第三方应用程序漏洞检查来检查并修补该漏洞
页:
[1]