A2004091701 - Buffer overflow em componente JPEG do Microsoft Windows

Categoria: Alertas

sexta, 17 setembro 2004 16:13

Sistemas Operativos Implicados:	Windows XP/NT/2K/Me/98/95
Aplicações Implicadas:	Indefinido

O Graphic Device Interface Plus (GDI+) da Microsoft contém uma vulnerabilidade no processamento de imagens JPEG. Esta vulnerabilidade pode permitir que atacantes executem remotamente código arbitrário no sistema afectado. Sistemas Afectados

Esta vulnerabilidade afecta os seguintes sistemas operativos Microsoft Windows por omissão:

* Microsoft Windows XP e Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 64-Bit Edition

Outros sistemas operativos Microsoft Windows, incluindo sistemas com Microsoft Windows XP Service Pack2, não são afectados por omissão. Contudo, esta vulnerabilidade pode afectar todas as versões do sistema operativo MS Windows se uma aplicação ou actualização de software instalar uma versão vulnerável do ficheiro gdiplus.dll no sistema.

Note que esta vulnerabilidade afecta qualquer software que utilize MS Windows ou a biblioteca GDI+ da Microsoft para apresentar gráficos JPEG. Uma lista de produtos Microsoft afectados está disponível no Apêndice B. Para uma lista completa de produtos afectados e não afectados, consulte o Microsoft Security Bulletin MS04-028.

Sumário

O Graphic Device Interface Plus (GDI+) da Microsoft contém uma vulnerabilidade no processamento de imagens JPEG. Esta vulnerabilidade pode permitir que atacantes executem remotamente código arbitrário no sistema afectado. O dano pode ocorrer como resultado de visionar um site malicioso, ler uma mensagem de correio electrónico em HTML ou simplesmente por abrir uma imagem JPEG manipulada em qualquer aplicação vulnerável. Os privilégios ganhos por um atacante remoto dependerão do componente de software atacado.

I. Descrição

O Microsoft Security Bulletin MS04-028 descreve uma vulnerabilidade de "buffer overflow" remotamente explorável no componente de processamento de JPEG do Graphic Device Interface Plus (GDI+) da Microsoft. Atacantes podem explorar esta vulnerabilidade convencendo uma vítima a visitar um site malicioso, ler uma mensagem de correio electrónico em HTML ou simplesmente abrir uma imagem JPEG manipulada em qualquer aplicação vulnerável. Não é necessária mais intervenção do utilizador além de visionar uma imagem JPEG fornecida por um atacante.

Qualquer aplicação (Microsoft ou não) que utilize a biblioteca GDI+ para apresentar imagens JPEG pode ser um veículo para ataques nesta vulnerabilidade. Enquanto algumas aplicações utilizam a versão do GDI+ do próprio sistema Windows, outras aplicações podem instalar e utilizar outra versão, que pode ser também vulnerável. A Microsoft criou a "GDI+ Detection Tool" para ajudar a detectar produtos que possam conter uma versão vulnerável do componente de processamento de JPEG. O Microsoft Knowledge Base Article 873374 fornece instruções sobre como obter e utilizar esta ferramenta.

Adicionalmente a correr o utilitário de detecção da Microsoft, recomenda-se que procure no seu sistema pelo ficheiro "gdiplus.dll" para ajudar a a determinar quais componentes externas ao sistema operativo poderão estar afectadas por esta vulnerabilidade. Note que uma aplicação pode re-instalar uma versão vulnerável do GDI+, se tal acontecer após a aplicação de um patch.

II. Impacto

Atacantes remotos podem explorar esta vulnerabilidade no sentido de executar código arbitrário com os privilégios do utilizador que corre os componentes de software atacados.

III. Solução

Aplicar os patches da Microsoft

Aplicar os patches apropriados tal como especificado no Microsoft Security Bulletin MS04-028. Note que este boletim fornece várias actualizações para o sistema operativo e aplicações que dependem do GDI+ para apresentar imagens JPEG. Dependendo da configuração do seu sistema, poderá necessitar de instalar múltiplos patches.

Além de disponibilizar alguns patches no Microsoft Update, a Microsoft disponibilizou também alguns patches no Office Update. Patches para ferramentas de desenvolvimento estão disponíveis no MS04-028.

Aplicar patches de outros fabricantes de software

Software que dependa do GDI+ para apresentar imagens JPEG também pode precisar de ser actualizado. Aplique os patches apropriados especificados pelo vendedor. Consulte o site do vendedor para mais informação. Dependendo da coniguração do seu sistema, poderá necessitar de instalar múltiplos patches.

Siga as recomendações da Microsoft para workarounds

A Microsoft disponibiliza diversos workarounds para esta vulnerabilidade. Note que estes workarounds não removem a vulnerabilidade do sistema e causarão limitações de funcionalidade. Consulte a secção "Workarounds for JPEG Vulnerability - CAN-2004-0200" do Microsoft Security Bulletin MS04-028.

Apêndice A. Referências

* Microsoft Security Bulletin MS04-028 -
http://microsoft.com/technet/security/bulletin/MS04-028.asp
* Microsoft End User Security Bulletin for MS04-028 -
http://www.microsoft.com/security/bulletins/200409_jpeg.mspx
* US-CERT Vulnerability Note VU#297462 -
http://www.kb.cert.org/vuls/id/297462
* Microsoft KB Article 873374 -
http://support.microsoft.com/?id=873374
* CVE CAN-2004-0200 -
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0200

Apêndice B. Produtos Microsoft Afectados

* Microsoft Office XP Service Pack 3
* Microsoft Office XP Service Pack 2
* Microsoft Office XP Software:
    + Outlook 2002
    + Word 2002
    + Excel 2002
    + PowerPoint 2002
    + FrontPage 2002
    + Publisher 2002
* Microsoft Office 2003
* Microsoft Office 2003 Software:
    + Outlook 2003
    + Word 2003
    + Excel 2003
     + PowerPoint 2003
     + FrontPage 2003
     + Publisher 2003
     + InfoPath 2003
     + OneNote 2003
* Microsoft Project 2002 Service Pack 1 (todas as versões)
* Microsoft Project 2003 (todas as versões)
* Microsoft Visio 2002 Service Pack 2 (todas as versões)
* Microsoft Visio 2003 (todas as versões)
* Microsoft Visual Studio .NET 2002
* Microsoft Visual Studio .NET 2002 Software:
     + Visual Basic .NET Standard 2002
     + Visual C# .NET Standard 2002
     + Visual C++ .NET Standard 2002
* Microsoft Visual Studio .NET 2003
* Microsoft Visual Studio .NET 2003 Software:
     + Visual Basic .NET Standard 2003
     + Visual C# .NET Standard 2003
     + Visual C++ .NET Standard 2003
     + Visual J# .NET Standard 2003
* The Microsoft .NET Framework version 1.0 SDK Service Pack 2
* Microsoft Picture It! 2002 (todas as versões)
* Microsoft Greetings 2002
* Microsoft Picture It! version 7.0 (todas as versões)
* Microsoft Digital Image Pro version 7.0
* Microsoft Picture It! version 9 (todas as versões, incluindo Picture It! Library)
* Microsoft Digital Image Pro version 9
* Microsoft Digital Image Suite version 9
* Microsoft Producer for Microsoft Office PowerPoint (todas as versões)
* Microsoft Platform SDK Redistributable: GDI+
* Internet Explorer 6 Service Pack 1
* The Microsoft .NET Framework version 1.0 Service Pack 2
* The Microsoft .NET Framework version 1.1

Original deste documento disponível em:

http://www.us-cert.gov/cas/techalerts/TA04-260A.html