|- 安全公告
        |- 详细内容		  
Windows帮助和支持中心绕过白名单限制漏洞
 CCERT编号:CCERT-0149
 CVE编号: CVE-2010-1885
 公告编者 : starry
 发布时间: 2010-06-13 12:26
 最后一次更新时间: 2010-06-13 12:26
 详细描述:
Windows中的帮助和支持中心默认允许访问在线文档,程序可通过hcp://形式的URL直接访问在线
的帮助文档。在通过注册的协议处理器调用hcp:// URL时,会向帮助中心应用传送命令行参
数/fromhcp,这个标记将帮助中心切换到受限制的模式,仅允许访问和执行白名单中的帮助文档
和参数,以此来规避远程访问带来的安全风险。但是帮助和支持中心的这个白名单在实现过程
中存在问题,可能允许白名单机制被绕过。攻击者可以发送特定的格式的地址引诱用户点击
来利用该漏洞。漏洞在利用过程中,会弹出帮助和支持程序。
 影响系统:
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2


             				
  
  					
                
               				     
                				 风险:
            				
 
  					
 
                            		      危害描述:
 
可能引起网页挂马攻击

            				
  
					
 
                             		      解决方案:
目前厂商还没有针对该漏洞发布补丁程序,建议您随时关注厂商的动态:

http://www.microsoft.com/technet/security/

在没有补丁程序前,您可以使用以下临时方法来减轻漏洞带来的风险:

暂时去除HCP协议的注册

  在命令窗口中执行:
  
  reg export HKEY_CLASSES_ROOT\HCP hcp_backup.reg
  
  备份注册表中相关的表项到备份文件。
  
  然后执行:
  
  reg delete HKEY_CLASSES_ROOT\HCP /f
  
删除相关的注册表项去除系统的HCP协议注册。在微软发布的相关漏洞补丁安装以后,双击备
份出来的hcp_backup.reg文件导入数据到注册表后即可恢复对HCP的支持。


            				

    					

                            		     
             				

   					
 
                      			    
             				

     					
 
                             		     参考连接:
http://www.microsoft.com/technet/security/advisory/2219475.mspx
http://seclists.org/fulldisclosure/2010/Jun/205