Újabb kritikus 0 day exploit a Windows-ok ellen; javítás még nincs

Microsoft, Windows

Több biztonsággal foglalkozó oldal is figyelmeztetett ma, hogy rendkívül súlyos, távolról kihasználható, eddig még javítatlan biztonsági hiba van a Microsoft Windows operációs rendszerekben.

A Secunia a hibát az ``Extremly Critical'' kategóriába sorolta. Sajnos működő exploit is közkézen forog, úgyhogy csak imádkozni lehet, hogy a Microsoft mielőbb publikálja a javítást...A hiba a korrupt Windows Metafile file-ok (.wmf) kezelésében van. A hibát kihasználva a támadó tetszőleges kódot tud futtatni a rendszeren. Ehhez a Secunia szerint elegendő Internet Explorer-rel meglátogatni bizonyos oldalakat.

A sebezhetőséget teljesen patchelt Windows XP SP2 esetén igazolták. Szintén jelezték, hogy a Microsoft Windows XP SP1 és Microsoft Windows Server 2003 SP0 / SP1 rendszerek is sebezhetőek. Más verziójú Windows operációs rendszerek is érintettek lehetnek.

Megoldás lehet a .wmf file-ok megnyitásának elkerülése és az IE-ben a biztonsági szint ``Magas''-ra állítása.

A Secunia jelentése itt. Az F-Secure blogja itt.

IE biztonsági szintje állítható Group Policy-vel. De nem ez a jó megoldás, hanem a shimgvw.dll futtatásának letiltása (pontosabban: unregister). Ezt kell futtatni minden gépen:

regsvr32 -u %windir%system32shimgvw.dll

A hiba a Windows képkezelő alrendszerében van, a Firefox ezért tudja megjeleníteni anélkül, hogy lefutna a kód. De ha leszeded a képet és megnyitod bármivel a gimpen kívül, akkor a hatás ugyanaz.

Tudom mit kell futtatni. Ezt mar tegnap kitargyaltuk. Lesz is eredmenye kripli Windows. Nem gondolod, hogy a cegnel amikor sipolnak, hogy nem tudjak megnyitni a kepeket, akkor majd vegigfutok 100nemtomhany gepen, es majd Gimpet telepitek mindenhova? Magy majd nekiallok kisakkozni, hogy mit merre? Majd inkabb adjanak ki hozza javitast.

( pepo v | 2005. 12. 28., sze – 17:11 )

Akkor lennék izgatott, ha teljesen elmaradnának az M$ termékek kritikushiba-jelentései...

( dikki | 2005. 12. 28., sze – 17:11 )

FUD. hiszen nemrég kaptak EAL4+ -t.

:)

Jaja, a Secunia csak IE-t emlitett, de a F-Secure blogban ez van:

``Note that you can get infected if you visit a web site that has an image file containing the exploit. Internet Explorer users might automatically get infected. Firefox users can get infected if they decide to run or download the image file.''

A futtatni nem igazan jo szo. Megnezni Picture vagy Fax viewer-ben, vagy windows explorer-ben elozenetet nezni.

``This can be exploited to execute arbitrary code by tricking a user into opening a malicious ".wmf" file in "Windows Picture and Fax Viewer" or previewing a malicious ".wmf" file in explorer (i.e. selecting the file).''

( noss | 2005. 12. 28., sze – 19:50 )

"csak imádkozni lehet, hogy a Microsoft mielőbb publikálja a javítást..."

vs.

"Megoldás lehet a .wmf file-ok megnyitásának elkerülése és az IE-ben a biztonsági szint ``Magas''-ra állítása."

akkor most végülis mégsincs feltétlen szükség imádkozni?!

( ricsip v | 2005. 12. 28., sze – 20:00 )

Ha jól rémlik volt pár hónapja egy hasonló wmf-es hiba.

( Nagyapa | 2005. 12. 28., sze – 22:01 )

Ááááá ez nem hiba, ez csak egy teszt.

A Microsoft így teszteli csupán a juzereket.

.

.

.

Mármint, hogy még hány hiba kell ahhoz, hogy még mindíg windowst használj :)

( csabka v | 2005. 12. 28., sze – 22:53 )

Így legalább az összes USA háttérszervezete kénytelen új képeket gyártani honlapjukra :).

Üdv:

Csabka

( drastik | 2005. 12. 29., cs – 09:28 )

unionseek.com/d/t1/wmf_exp.htm

esetleg ha tesztelni akarjatok akkor itt a link:)

mindenki sajat felelossegere

( anr | 2005. 12. 29., cs – 09:37 )

Exploit Released for Unpatched Windows Flaw [it.slashdot.org]

--------------

The patch can be found here:

http://www.ubuntulinux.org/newsitems/release510/

------------

Microsoft said in it's late night response on new years day that a patch is being made, the flaw is not critical since no-one actually uses WMF and the rest who do use them never should surf to porn and warez sites anyway. A patch will be available in Windows Shoehorn.

--------------

Surfing for porn with IE on Windows is like having unprotected anal sex with everybody on the internet.

--------------

iDefense notes that this workaround may interfere with certain thumbnail images loading correctly... The company notes that once Microsoft issues a patch, the WMF feature may be enabled again by entering the command "regsvr32 shimgvw.dll"...

Csak hogy teljes legyen :-)

( trey | 2005. 12. 29., cs – 13:53 )

Engem az erdekelne, hogy a spyware, adware oldalaknak mennyit er(t) ez vagy egy ilyen 0 day exploit. Gondolom azert van annyi ilyen oldal mar most felkeszulve, mert egy vagy nehany ilyen oldal megvette az exploitot a kifejlesztotol / felfedezotol, es egymas kozt elbizniszelik.

Tovabbi cikk a temaban:

Windows 0-day exploit found on Web [www.securityfocus.com]

( skynetpro | 2005. 12. 29., cs – 13:55 )

Van valakinek működő expoitja? ki szeretném próbálni :D

( Hunger | 2005. 12. 29., cs – 15:23 )

Az is vicces, hogy az egyik domain (beehappyy.biz) amelynek weboldala kihasználta ezt a hibát a volt szovjet államfő, Gorbacsov nevére van regisztrálva... ;DD

Registrant Name: Mikhail Sergeevich Gorbachev

Registrant Address1: Krasnaya ploshad, 1

Registrant City: Moscow

Registrant Postal Code: 176098

Registrant Country: Russian Federation

Registrant Country Code: RU

Ez a legkevesebb. Azt kivanom, hogy egy 1000 felhasznalos cegnel egyenkent allitsa feljebb a biztonsagi szintet az osszes bongeszoben :-D Sehol nincs az megirva, hogy egy oriascegnel csak IE-t hasznalnak. A legtobb helyen akar keverve is...

Az ok, hogy IE-ben feljebb lehet talan gp-bol, de vajon Firefox-ban? Es mi van az osszes email klienssel? Ott mit allit es merre?