因为这个WMF文件格式漏洞的影响范围仍旧在增加,而且这个漏洞并无特定的代码特征,所以需要一个可以治本的补丁来阻止恶意代码的传播。
微软公司已经于1月6日发布了针对Windows 2000以上版本SETABORTPROC函数不当处理漏洞的补丁。该补丁原计划于1月10日发布,但是测试工作提前完成了。
Ilfak Guilfanov也在他的网站上发布了一个第三方的针对SETABORTPROC函数的补丁,声称对于WinXP (SP1,SP2)和Win2000系统,可以移除这个gdi32中的缺陷,但是这是通过注入代码到系统模块实现的,可能在产生诸如打印包含WMF图像的文档失败的问题。在被广泛报道之后,这个网站因为过载而在2006年1月3日暂时关闭,而在2006年1月4日成为了一个简洁的网页。这个补丁在一个
镜像站点也可以下载。
针对这个漏洞,用户可以考虑采取以下步骤:
* 安装微软发布的官方补丁。
* 如果使用的是硬件(例如AMD的64位CPU)实现的
数据执行保护,打开所有程序的数据执行保护。
* 设置WMF文件的默认关联程序为一个不可能执行WMF指令的程序,例如记事本。
* 通过设置Internet选项中的默认安全设置为高来关闭下载。
* 保持所有防火墙软件为最新版本,并且考虑频繁地手动检查更新。
* 尽可能减少用户的权限。
* 禁用Google Desktop的索引功能,直到该问题被解决。
* 使用非Windows的操作系统,例如Linux、FreeBSD或者Unix。
* 在可能自动显示WMF文件的程序,例如Internet Explorer和Outlook中关闭图像的显示。使用非Internet Explorer的浏览器会减轻一点风险,但是不能识别改名为其他扩展名的恶意WMF文件。
* 使用非Windows的操作系统进行高危操作,例如进行聊天或者浏览可以在帖子中插入图像的论坛。
* 在Windows中禁用索引服务