受影响的软件及系统：

　　- Microsoft Windows NT

　　- Microsoft Windows XP

　　- Microsoft Windows 2000

　　- Microsoft Windows 2003

　　未受影响的软件及系统：

　　- Microsoft Windows 98

　　综述：

　　NSFOCUS安全小组发现微软Windows系统中RPC DCOM接口中存在一个远程可利用的缓冲区溢出漏洞，远程攻击者可能利用这个漏洞获取local system权限。

　　分析：

　　远程过程调用(RPC)是Windows 操作系统使用的一个协议。RPC提供一种内部进程通讯机制，允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会(OSF)RPC协议，但添加了一些Microsoft特定的扩展。

　　在Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows 的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。攻击者可以在系统中采取任何行为，包括安装程序， 窃取更改或删除数据，或以完全权限创建新帐号。

　　此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻击。

　　注意，此漏洞与MS03-026中描述的漏洞并非同一个漏洞，MS03-026（Q823980）的安全补丁并不能修复该漏洞。

　　解决方法：

　　* 使用防火墙阻塞至少下列端口：

　　 135/UDP

　　 137/UDP

　　 138/UDP

　　 445/UDP

　　 135/TCP

　　 139/TCP

　　 445/TCP

　　 593/TCP

　　 在受影响主机禁用COM Internet服务和RPC over HTTP。

　　* 如果因为某些原因确实不能阻塞上述端口，可以考虑暂时禁用DCOM：

　　 打开"控制面板"-->"管理工具"-->"组件服务"。

　　 在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击

　　 右键，选"属性"。

　　 选取"默认属性"页，取消"在此计算机上启用分布式 COM"的复选框。

　　 点击下面的"确定"按钮，并退出"组件服务"。

　　 注意：禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系统服务不能启动，绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻塞端口来确保系统安全。

　　厂商状态：

　　2003.07.29 通知厂商

　　2003.07.30 厂商证实漏洞存在

　　2003.09.10 微软已就此发布了一个安全公告(MS03-039)以及相应补丁

　　您可以在下列地址看到微软安全公告的详细内容：

　　http://www.microsoft.com/technet/security/bulletin/ms03-039.asp