MS08-052

作者:tombkeeper

这个补丁日只出了一篇Windows本身的公告,MS08-052。不过这里面含了一堆让某些人激动不已眼睛里直冒¥符号的漏洞:

GDI+ VML 缓冲区溢出漏洞 – CVE-2007-5348
GDI+ EMF 内存损坏漏洞 – CVE-2008-3012
GDI+ GIF 分析漏洞 – CVE-2008-3013
GDI+ WMF 缓冲区溢出漏洞 – CVE-2008-3014
GDI+ BMP 整数溢出漏洞 – CVE-2008-3015

所以,高公告,水果味儿,一篇顶过去五篇。

显然,这些漏洞的利用途径是非常广的。虽然暂时不知道这些漏洞本身好不好利用,不过五个总不可能都是垃圾漏洞吧?

另外,理论上至少CVE-2008-3013是可能通过QQ之类的软件来XX的。而且对QQ来说,用户必须手工替换QQ目录下的gdiplus.dll才能起到修复漏洞的效果,而绝大多数QQ用户都不知道应该这么做。所以QQ的兄弟们应该搞一下补丁推送(其实最佳方案是在QQ服务器上对过往的自定义表情作检查,不过这一时半会儿估计来不及搞)。

顺便说一句:好像是从今年开始,微软开始向国内部分单位提前透露安全公告和补丁的信息了。在中国目前这种环境下,此举真的能更好地保障微软用户的安全?还是让用户更危险?我恶毒的心灵相当地支持后一种答案。

(补充一下:看起来有不少人没弄明白WinSxS这套机制是怎么运作的,以至于误会了SWI这篇Blog,认为不必手工替换QQ安装目录下的gdiplus.dll也没事。是不是这样呢?去试试看吧。)

相关日志

抢楼还有机会... 抢座Rss 2.0或者 Trackback

  • hiclin003

    QQ的兄弟们应该搞一下补丁推送,自从MS04-028那会,就有这套机制啦 QQ2006贺岁版以前

发表评论