BUGTRAQ ID: 30584 CVE(CAN) ID: CVE-2008-1457 Microsoft Windows是微软发布的非常流行的操作系统。 Microsoft Windows事件系统在创建用户订阅时没有正确地验证订阅请求,导致权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。 Microsoft Windows XP SP3 Microsoft Windows XP SP2 Microsoft Windows Vista SP1 Microsoft Windows Vista Microsoft Windows Server 2008 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 SP1 Microsoft Windows 2000SP4 临时解决方法: * 注销es.dll,请执行下列步骤: 1. 以拥有管理特权的用户身份登录。 2. 单击“开始”,单击“运行”,键入cmd,然后单击“确定”。 3. 在命令提示符处键入以下命令: regsvr32 /-u %WINDIR%\SYSTEM32\es.dll * 停止和禁用系统事件通知和COM+事件系统服务 交互式: 1. 单击“开始”,然后单击“控制面板”。或者,指向“设置”,然后单击“控制面板”。 2. 双击“管理工具”。或者,单击切换到“经典视图”,然后双击“管理工具”。 3. 双击“服务”。 4. 双击“系统事件通知”。 5. 在“启动类型”列表中,单击“禁用”。 6. 单击“停止”,然后单击“确定”。 您也可以通过在命令提示符(Windows XP中及Microsoft Windows 2000的资源工 具包中均有提供)处使用以下命令来停止和禁用系统事件通知服务: sc stop sens & sc config sens start= disabled 然后对COM+事件系统重复上述步骤。 您也可以通过在命令提示符(Windows XP中及Windows 2000的资源工具包中均有 提供)处使用以下命令来停止和禁用COM+事件系统服务: sc stop eventsystem & sc...
BUGTRAQ ID: 30584 CVE(CAN) ID: CVE-2008-1457 Microsoft Windows是微软发布的非常流行的操作系统。 Microsoft Windows事件系统在创建用户订阅时没有正确地验证订阅请求,导致权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。 Microsoft Windows XP SP3 Microsoft Windows XP SP2 Microsoft Windows Vista SP1 Microsoft Windows Vista Microsoft Windows Server 2008 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 SP1 Microsoft Windows 2000SP4 临时解决方法: * 注销es.dll,请执行下列步骤: 1. 以拥有管理特权的用户身份登录。 2. 单击“开始”,单击“运行”,键入cmd,然后单击“确定”。 3. 在命令提示符处键入以下命令: regsvr32 /-u %WINDIR%\SYSTEM32\es.dll * 停止和禁用系统事件通知和COM+事件系统服务 交互式: 1. 单击“开始”,然后单击“控制面板”。或者,指向“设置”,然后单击“控制面板”。 2. 双击“管理工具”。或者,单击切换到“经典视图”,然后双击“管理工具”。 3. 双击“服务”。 4. 双击“系统事件通知”。 5. 在“启动类型”列表中,单击“禁用”。 6. 单击“停止”,然后单击“确定”。 您也可以通过在命令提示符(Windows XP中及Microsoft Windows 2000的资源工 具包中均有提供)处使用以下命令来停止和禁用系统事件通知服务: sc stop sens & sc config sens start= disabled 然后对COM+事件系统重复上述步骤。 您也可以通过在命令提示符(Windows XP中及Windows 2000的资源工具包中均有 提供)处使用以下命令来停止和禁用COM+事件系统服务: sc stop eventsystem & sc config eventsystem start= disabled * 修改es.dll上的访问控制列表 在Windows XP和Windows Server 2003上: 1. 以拥有管理员特权的用户身份登录。 2. 单击“开始”,单击“运行”,键入cmd,然后单击“确定”。 3. 记下文件上的当前 ACL(包括继承设置),以便将来必须撤消此修改时作为参 考。要查看ACL,请键入以下内容: cacls %WINDIR%\SYSTEM32\es.DLL 4. 要拒绝“everyone”组访问该文件,请在命令提示符处键入以下内容: echo y| cacls %WINDIR%\SYSTEM32\es.DLL /E /P everyone:N 在Windows Vista上: 1. 以拥有管理员特权的用户身份登录。 2. 单击“开始”,单击“运行”,键入cmd,然后单击“确定”。 3. 记下文件上的当前 ACL(包括继承设置),以便将来必须撤消此修改时作为参 考。要查看ACL,请键入以下内容: cacls %WINDIR%\SYSTEM32\es.DLL 4. 要允许“everyone”组访问该文件,请在命令提示符处键入以下内容: takeown.exe /f %WINDIR%\SYSTEM32\es.DLL icacls.exe %WINDIR%\SYSTEM32\es.DLL /save %TEMP%\es_ACL.TXT icacls.exe %WINDIR%\SYSTEM32\es.DLL /allow everyone:(F) 厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS08-049)以及相应补丁: MS08-049:Vulnerabilities in Event System Could Allow Remote Code Execution (950974) 链接:<a href=http://www.microsoft.com/technet/security/bulletin/MS08-049.mspx?pf=true target=_blank>http://www.microsoft.com/technet/security/bulletin/MS08-049.mspx?pf=true</a>
