CBND10-003

Lỗ hổng mới trong việc xử lý các file shortcut của Windows
Cập nhật ngày 03/08/2010
1. Microsoft đã cung cấp bản vá cho lỗi này:
Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)

Tổng quan

Theo nguồn tin từ các website an toàn thông tin, lỗ hổng này mới được phát hiện và vẫn chưa có bản vá chính thức. Microsoft đã chính thức xác nhận thông tin này.

I. Mô tả

Lỗ hổng nằm trong chức năng xử lý hiển thị hình ảnh biểu tượng (icon) của shortcut, là những biểu tượng truy xuất nhanh vào các chương trình phần mềm. Lỗ hổng này cho phép thực thi các đoạn mã độc hại trên máy tính của người dùng khi máy tính hiển thị những hình ảnh biểu tượng có chứa mã độc.

II. Tác hại

Kẻ tấn công có khả năng thực thi các đoạn mã độc hại, chiếm quyền điều khiển hệ thống.

III. Giải pháp

Trong thời gian chưa có bản vá chính thức cho lỗ hổng này, người dùng có thể thực hiện theo những bước sau để tắt chức năng hiển thị hình ảnh biểu tượng cho shortcut, tránh bị khai thác bởi lỗ hổng này:

  1. Vào menu Start => Run, gõ "regedit" vào textbox và chọn OK.
  2. Chuyển đến nhánh theo đường dẫn sau:
    HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
  3. Chọn menu File => Export, save ra file LNK_Icon_Backup.reg
    File này được lưu lại để khi cần ta có thể import lại vào registry.
  4. Chuyển đến nhánh theo đường dẫn sau:
    HKEY_CLASSES_ROOT\piffile\shellex\IconHandler
  5. Chọn menu File => Export, save ra file PIF_Icon_Backup.reg
    File này được lưu lại để khi cần ta có thể import lại vào registry.
  6. Bên khung cửa sổ bên phải, chọn khóa "(Default)", ấn Enter để thay đổi giá trị của khóa, xóa trắng giá trị của khóa và chọn OK.
  7. Khởi động lại explorer.exe hoặc khởi động lại máy tính.

Sau khi thực hiện những bước trên, ta sẽ thấy các shortcut không còn hiển thị hình ảnh biểu tượng của chương trình nữa. Khi hệ thống đã được cài đặt bản vá, cần khôi phục lại chức năng này, người dùng chỉ cần import 2 file .reg trên vào hệ thống.

Đơn giản hơn, Microsoft có cung cấp một tiện ích nhỏ để thực hiện những bước trên, người dùng có thể nhấn nút "Fix it" trong mục "Enable workaround" tại địa chỉ http://support.microsoft.com/kb/2286198 và làm theo hướng dẫn.

Các hệ thống bị ảnh hưởng

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista Service Pack 1 and Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems
  • Windows 7 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems
  • Windows Server 2008 R2 for Itanium-based Systems

Tham khảo

Other Information

Ngày thông báo

20/07/2010

Ngày cập nhật sau cùng

03/08/2010

VNCERT-ID

CBND 10-003

Mức độ nguy hiểm

cao

Mọi thắc mắc hay ý kiến đóng góp xin liên hệ địa chỉ email chính thức của VNCERT (office[at]vncert[.]vn)