受影响系统

所有Windows版本均受影响，但主要威胁域控制器（PDC）等服务器系统。遵循最佳实践的环境应在边界防火墙阻断BROWSER协议，将攻击限制在本地网络。

漏洞根因

畸形BROWSER报文触发主浏览器执行以下漏洞代码：

1
2
3

if (Length > 0) {
    RtlCopyMemory(StringOffset, InsertionString, Length*sizeof(WCHAR));
}

因32位长度值下溢为-1，导致复制长度在32位系统变为-2（0xFFFFFFFE），64位系统变为0x1FFFFFFFE，引发内核池缓冲区溢出。

溢出影响

• 必然触发系统崩溃（bugcheck）：32位系统需复制约4GB连续内存，64位系统约8GB，虚拟地址空间无法满足
• 远程代码执行（RCE）理论可能：若内存损坏后被其他线程在复制过程中引用（尤其在PASSIVE IRQ级别可被抢占的XP/2003系统）
• 实际利用难度极高：需精确命中并行处理时机

可利用性评估

• RCE可能性：理论存在但实际极难实现
• DoS可能性：极易触发
• 漏洞指数评级（XI）：
  • Vista及更新系统：3级（稳定利用代码难以实现）
  • XP/Server 2003：2级（可能出现不稳定利用代码）

更新说明（2011-02-18）：根据后续研究修正IRQ级别信息和XI评级。

技术细节参考：[MS-BRWS]协议规范
关联分析参见微软恶意软件防护中心技术博客