GDI+新攻击面缩减功能
MS09-062修复了GDI+中多个与图像解析相关的漏洞,同时引入了一项新功能:允许管理员禁用不同图像格式的解析器。该功能今年早些时候已在Microsoft下载中心作为可选更新发布,现正式纳入本次安全公告。
安装此更新后,您可以按需关闭GDI+中的各类图像解析器。例如,若某台计算机无需显示TIFF文件,禁用GDI+的TIFF解析器即可缩减攻击面,避免未来可能出现的GDI+ TIFF解析代码漏洞。
可禁用解析器对照表
| 格式 | 注册表键值 |
|---|---|
| BMP | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableBMPCodec (DWORD=1) |
| GIF | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableGIFCodec (DWORD=1) |
| PNG | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisablePNGCodec (DWORD=1) |
| ICO | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableICOCodec (DWORD=1) |
| TIFF | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableTIFFCodec (DWORD=1) |
| JPEG | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Gdiplus\DisableJPEGCodec (DWORD=1) |
| WMF/EMF | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles (DWORD=1) |
启用禁用开关后,尝试解析对应格式文件时将返回错误(如同解析损坏图像文件时的行为)。部分应用程序可能未做错误处理,建议先禁用非必要解析器,再测试常用应用确保兼容性。
需注意:此功能仅禁用GDI+解析器,其他不使用GDI+的应用程序(包括部分微软应用)仍可能通过自有解析器处理图像。
致谢:Windows持续工程团队Christopher Leung和Ryan Becker的贡献。