由于riched20.dll中存在一個緩沖區(qū)溢出漏洞,導(dǎo)致相應(yīng)的應(yīng)用程序的崩潰 。一級警報
QQ惡意代碼顯身,瞬間摧毀QQ
日前一段惡意代碼流行于QQ用戶之間,用戶一旦收到收到此信息后就會QQ將停止服務(wù),發(fā)生死機,或者QQ自動關(guān)閉,非法操作提示等錯誤?!?
收到此段代碼之后QQ并不會立即出現(xiàn)問題。但是用戶一旦查看消息此段代碼立刻產(chǎn)生效果。其癥狀為QQ內(nèi)存使用突然增大,然后系統(tǒng)顯示Oicq非法操作。立即被關(guān)閉?!?
此段代碼在QQ0825,0630版本下測試通過。并且在新浪QQ下同樣存在此問題! 受影響的操作系統(tǒng)包括Win98,Win2K,WinXP?!?
在Win2000下,將發(fā)生系統(tǒng)內(nèi)存急劇減少,可通過關(guān)閉QQ的進程來解決。不過關(guān)閉QQ的進程還需要耐心等待!
目前騰訊的還未就此時間發(fā)表任何評論和補丁程序。網(wǎng)友之間也還沒有任何“土法”可以避免此段代碼產(chǎn)生效果,廣大網(wǎng)友也只有小心為妙?!?
漏洞描述:
riched20.dll中存在一個緩沖區(qū)溢出漏洞,該漏洞可導(dǎo)致使用此DLL模塊相應(yīng)功能的應(yīng)用程序崩潰,但其很難被用來執(zhí)行任意代碼。
問題出現(xiàn)在其對RTF文檔分析的代碼中,其對文檔中屬性標(biāo)示中的數(shù)字(如字體大小)等處理不當(dāng),使其出現(xiàn)溢出。
此溢出似乎不能導(dǎo)致執(zhí)行任意代碼。
下面一段RTF文檔可能導(dǎo)致非法操作:
{.............省略}
viewkind4uc1pardcf1kerning2f0fs181211111111111111111111111111111111
10000www.yoursft.comfs20par
}
其中 fs 是用來設(shè)置后面的文字 byebye 的字體大小的,當(dāng)字體大小數(shù)字串長度超過32字節(jié)時,就會引發(fā)緩沖區(qū)溢出,當(dāng)超過34字節(jié)以后就有可能會導(dǎo)致應(yīng)用程序崩潰。
不過大家可以放心,此段代碼雖然是比較惡劣,但是對于QQ本身或者操作系統(tǒng)卻是沒有損害的。非法操作之后的QQ依然可以重新登陸,并且“害死”你的那段代碼同樣也可以在QQ的聊天記錄里面看到。
經(jīng)過Pchome一眾小編的一下午努力,終于找到了不用重新安裝舊版QQ也能安全抵擋惡意代碼的方法了。其實只要找到OfficeXP中的RICHED20.DLL文件提取出來,然后覆蓋QQ安裝目錄中的同名文件即可?!?
地址: http://www.nhcj.com/RICHED20.DLL
