受影响系统：
Microsoft Windows XP SP2
Microsoft Windows 2000SP4
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 20940
CVE(CAN) ID: CVE-2006-5758

Microsoft Windows是微软发布的非常流行的操作系统。

Windows XP及更早版本的WIN32K.SYS中存在特权句柄泄露漏洞，允许非特权用户以内核权限执行任意指令。

如果创建了新进程的话，WIN32K.SYS!GdiProcessCallout会通过ObOpenObjectByPointer以SECTION_ALL_ACCESS权限在新进程中为gpHmgrSharedHandleSection创建句柄。这个句柄用于将共享中的只读部分映射到进程的内存，但没有关闭，因此应用程序可以滥用句柄将这部分重新映射为可写，然后篡改WIN32K.SYS将会使用的数据。

gpHmgrSharedHandleSection是一个10h字节GDI对象句柄项表，格式如下：

+00h PTR GDI object data (kernel data) pointer
+04h WORD Process ID
+06h WORD some flags
+08h WORD high word of GDI handle
+0Ah BYTE type
01h = DC 0Ah = Font
02h = Surface? 0Ch = Font Chunk?
03h = 3D Surface? 0Eh = Color Transform Object
04h = Region 10h = Brush
05h = Bitmap 15h = Metafile?
06h = Client Object? 16h = EnumFontStyle?
07h = Path 1Ch = Driver Object
08h = Palette 1Eh = Spool Object
09h = Color Space
+0Bh BYTE more flags
+0Ch PTR user data pointer

恶意用户可以创建一个GDI对象，修改与句柄相关的内核数据指针，然后试图使用对象以使WIN32K.SYS操作恶意数据，导致执行任意指令。

<*来源：Cesar Cerrudo （cesarc56@yahoo.com）

链接：http://projects.info-pull.com/mokb/MOKB-06-11-2006.html
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx?pf=true
http://www.us-cert.gov/cas/techalerts/TA07-093A.html
http://research.eeye.com/html/alerts/zeroday/20061106.html
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://projects.info-pull.com/mokb/bug-files/GDIKernelPoC.cpp

建议：
--------------------------------------------------------------------------------
厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS07-017）以及相应补丁:
MS07-017：Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
链接：http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx?pf=true