CVE-2006-0564 — 神龙十问 AI 深度分析摘要

🚨 **本质**：栈缓冲区溢出 (Stack Buffer Overflow) 💥 **后果**：攻击者可执行 **任意代码**，完全控制目标系统。

🔍 **缺陷点**：处理 `.hhp` 文件时，**Contents 字段** 长度未校验。 ⚠️ **CWE**：数据缺失，但典型为 **CWE-120** (缓冲区复制无检查)。

🎯 **受影响组件**：Microsoft HTML Help Workshop 📦 **具体版本**：**4.74.8702.0** 及更早版本。 📦 **SDK**：Microsoft HTML Help 1.4 SDK。

🕵️ **黑客能力**：获得 **SYSTEM/用户级权限**。 📂 **数据风险**：可读取、修改、删除任何文件，安装后门。

🚪 **利用门槛**：**中等/低**。 🔑 **认证**：通常无需认证，只需用户打开恶意 `.hhp` 文件。 ⚙️ **配置**：依赖上下文相关攻击 (Context-dependent)。

💣 **Exp 状态**：2006年已公开。 📜 **参考**：VUPEN ADV-2006-0446, X-Force 24481。 🌍 **在野**：年代久远，现多为历史样本或教学用途。

🔎 **自查特征**：检查系统中是否存在 **HTML Help Workshop 4.74.8702.0**。 📂 **文件检测**：扫描恶意构造的 `.hhp` 文件，特别是 **Contents 字段** 过长的文件。

🛡️ **官方修复**：微软已发布补丁/更新。 ✅ **建议**：升级到 **最新安全版本** 或卸载该旧版工具。

🚧 **临时规避**： 1️⃣ **禁用** HTML Help Workshop 功能。 2️⃣ **限制** 用户打开未知来源的 `.hhp` 文件。 3️⃣ 使用 **应用程序白名单** 阻止旧版组件执行。

⚡ **优先级**：**低** (针对现代系统)。 💡 **见解**：这是 **2006年** 的老漏洞。现代 Windows 默认不安装此旧版 Workshop。若仍在使用，需 **立即升级**，否则风险极高。