关于drwtsn32.exe错误问题
简言之既是:drwtsn32.exe故障转储文件默认权限设置不当,可能导致敏感信息泄漏。
影响系统:
当前所有windows版本
详细:
drwtsn32.exe(dr. watson)是一个windows系统内置的程序错误调试器。默认状态下,出现程序错误时,dr. watson 将自动启动,除非系统上安装了vc等其他具有调试功能的软件更改了默认值。注册表项:
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionaedebug]下的debugger 项的值指定了调试器及使用的命令;auto 项决定是否自动诊断错误,并记录相应的诊断信息。
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionaedebug]
在windows 2000中drwtsn32.exe默认会将故障转储文件user.dmp存放在目录“documents and settingsall usersdocumentsdrwatson”下。权限为everyone 完全控制。在windows nt中被存储在“winnt”中,everyone组至少有读取权限。
由于user.dmp中存储的内容是当前用户的部分内存镜像,所以可能导致各种敏感信息泄漏,例如帐号、口令、邮件、浏览过的网页、正在编辑的文件等等,具体取决于崩溃的应用程序和在此之前用户进行了那些操作。
因为windows程序是如此易于崩溃,所以不能排除恶意用户利用此弱点获取非授权信息的可能。例如:利用ie5.0以上的畸形注释漏洞就可以使浏览包含恶意代码的iexplore.exe 和查看包含恶意代码的邮件程序崩溃.
解决方案:
采取以下任一措施皆可解决此问题:
1、键入不带参数的drwtsn32,更改故障转储文件到一个特权路径,如:documents and settingsadministratordrwatson 或取消“建立故障转储文件”选项。
2、删除注册表项
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionaedebug] 下的相关键值。
3、使用其它调试工具。并在注册表中正确设置。
键入不带参数的drwtsn32,即在开始→运行→键入drwtsn32→回车,在打开的窗口中,取消“创建故障转储文件”选项这。 |
|
|