關於drwtsn32.exe錯誤問題
簡言之既是:drwtsn32.exe故障轉儲文件默認權限設置不當,可能導致敏感信息泄漏。
影響係統:
當前所有windows版本
詳細:
drwtsn32.exe(dr. watson)是一個windows係統內置的程序錯誤調試器。默認狀態下,出現程序錯誤時,dr. watson 將自動啓動,除非係統上安裝了vc等其他具有調試功能的軟件更改了默認值。註册表項:
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionaedebug]下的debugger 項的值指定了調試器及使用的命令;auto 項决定是否自動診斷錯誤,並記錄相應的診斷信息。
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionaedebug]
在windows 2000中drwtsn32.exe默認會將故障轉儲文件user.dmp存放在目錄“documents and settingsall usersdocumentsdrwatson”下。權限為everyone 完全控製。在windows nt中被存儲在“winnt”中,everyone組至少有讀取權限。
由於user.dmp中存儲的內容是當前用戶的部分內存鏡像,所以可能導致各種敏感信息泄漏,例如帳號、口令、郵件、瀏覽過的網頁、正在編輯的文件等等,具體取决於崩潰的應用程序和在此之前用戶進行了那些操作。
因為windows程序是如此易於崩潰,所以不能排除惡意用戶利用此弱點獲取非授權信息的可能。例如:利用ie5.0以上的畸形註釋漏洞就可以使瀏覽包含惡意代碼的iexplore.exe 和查看包含惡意代碼的郵件程序崩潰.
解决方案:
采取以下任一措施皆可解决此問題:
1、鍵入不帶參數的drwtsn32,更改故障轉儲文件到一個特權路徑,如:documents and settingsadministratordrwatson 或取消“建立故障轉儲文件”選項。
2、刪除註册表項
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionaedebug] 下的相關鍵值。
3、使用其它調試工具。並在註册表中正確設置。
鍵入不帶參數的drwtsn32,即在開始→運行→鍵入drwtsn32→回車,在打開的窗口中,取消“創建故障轉儲文件”選項這。 |
|
|