WindowsWorkstation服务远程漏洞(1)

　　微软最近为了减轻系统管理员的工作负担，把发布安全公告的周期从不定期改为定期发布，这无疑给系统管理员安装补丁提供了极大的方便，可以一起安装几个补丁。而不用为每个补丁都折腾一番。

　　在2003年11月11日，微软又一起发布了3个安全公告，其中漏洞危害等级最高的当属MSO3-049:WindowsWorkstation服务远程溢出漏洞了。以下我们就这个漏洞的一些具体信息展开探讨。

　　关于这个漏洞的安全公告可以从http://www.microsoft.com/technet/security/bulletin/MS03-049.asp看到。但是按照惯例，微软网站上的安全公告只有一些关于漏洞的简单描述、受影响平台、补丁下载地址等，不会有详细的技术信息，这点信息对系统管理员人员来说己经足够了，但对想深入了解一些技术细节的读者来说是远远不够的。那么，一般情况下我们该从何处去了解漏洞的详细技术信息呢?一般有3种途径:

　　1、在安全公告的后面，一般会有"感谢某某人/某某公司/某某组织发现开向微软提交漏洞"这样的信息，然后我们就可以尝试去漏洞发现者的网站上找找看有没有关于漏洞的详细技术信息。

　　2、关注一些黑客/安全论坛、邮件列表等等，一般情况下在那些地方都会就漏洞展开一些深入的探讨。

　　3、自己独立研究。假如上述途径不行，那就只有靠自己了。

　　本文提到的漏洞是由世界著名的网络安全公司EEYE Digital Security的安全研究人员发现的，在他们公司的网站上也公布了关于此漏洞的详细技术信息，我们可以从http//www.eeye.com/html/Research/Advisories/AD2003111l.html获得这些信息（英文）。

　　Microsoft DCE/RPC服务可以提供网络管理功能，这些功能提供管理用户账户和网络资的源管理，部分网络管理功能在Windows目录下的debug子目录会生成调试日志文件。

　　微软Windows200O和WindowsXP中的Workstation服务在处理日志记录时缺少充分的边界缓冲区检查，远程攻击者可以利用这个漏洞提供超长参数触发缓冲区溢出，以SYSTEM权限（Workstation服务默认以SYSTEM权限运行的）在系统上执行任意指令。