Microsoft Windows保存搜索文件处理内存破坏漏洞（MS08-075）

BUGTRAQ ID: 32651 CVE(CAN) ID: CVE-2008-4268 Microsoft Windows是微软发布的非常流行的操作系统。 在Windows Vista和Server 2008中，用户可以将搜索保存为.search-ms XML文件所生成的搜索文件夹。如果用户受骗打开了特制的.search-ms文件的话，就可能触发内存破坏，导致在有漏洞的系统上执行任意代码。 Microsoft Windows Vista SP1 Microsoft Windows Vista Microsoft Windows Server 2008 临时解决方法： * 临时更改与“.search-ms”文件扩展名有关的文件类型，在提升的命令提示符处输入以下命令：assoc .search-ms=xmlfile * 注销SearchFolder文件类型。 使用交互方法 1. 单击“开始”，单击“运行”，在“打开”框中键入Regedit，然后单击“确定”。 2. 找到并随后单击下列注册表子项： HKEY_CLASSES_ROOT\SearchFolder 3. 单击“文件”菜单并选择“导出”。 4. 在“导出注册表文件”对话框中，键入SearchFolder_file_association_registry_backup.reg，然后单击“保存”。 5. 按键盘上的“Delete”键删除该注册表项。当系统提示您通过“确认项删除”对话框删除注册表项时，单击“是”。 使用被管理的部署脚本 1. 使用包含下列命令的被管理的部署脚本创建注册表项的备份副本： Regedit.exe /e SearchFolder_registry_backup.reg HKEY_CLASSES_ROOT\SearchFolder 2. 接下来，将下列内容保存到扩展名为.REG的文件，例如Delete_SearchFolder_file_association.reg： Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\SearchFolder] 3. 在目标计算机上的提升命令提示符处，使用下列命令运行以上注册表脚本： Regedit.exe /s Delete_SearchFolder_file_association.reg 厂商补丁： Microsoft --------- Microsoft已经为此发布了一个安全公告（MS08-075）以及相应补丁: MS08-075：Vulnerabilities in Windows Search Could Allow Remote Code Execution (959349) 链接：<a href=http://www.microsoft.com/technet/security/Bulletin/ms08-075.mspx?pf=true target=_blank>http://www.microsoft.com/technet/security/Bulletin/ms08-075.mspx?pf=true</a>