Új IM féreg használja ki a WMF sebezhetőséget; Ideiglenes javítás

Bug

Múlt hét közepén került napvilágra az a tény, hogy a Microsoft Windows (98, ME, XP, 2003 Server, stb.) operációs rendszerek grafikus leképezőmotorjában eddig még javítatlan, súlyos hiba található, amelyet speciálisan formázott kép filelal ki lehet használni. A hibát kihasználó tetszőleges kódot tud végrehajtani a védtelen rendszeren annak a felhasználónak a nevében, aki a deformált filet megnyitotta.

A Microsoft elismerte, hogy a hiba rendkívül súlyos, de azt is olvashattuk, hogy a hibára nem ad ki a cég rendkívüli javítást, hanem valószínűleg a security update-en keresztül, csak a szokásos havi frissítésekkel együtt juthatunk majd hozzá. Lehet, hogy előbb is, ez majd a felhasználók igényeitől függ. A Microsoft Security Response Center blogban azt olvashatjuk, hogy a hiba csak akkor érinthet minket, ha a támadó rá tud venni minket arra, hogy meglátogassunk olyan ártó szándákkal preparált weboldalt, amely tartalmazza az exploitot, vagy megnyitunk (vagy a betekintő automatikusan megnyitja?) olyan e-mail mellékletet, amelyben szintén benne van az exploit.

Közben azonban a féreg egyre több irányból támad. A SANS és vírusirtó cégek blogjaiban felbukkant infók szerint egy új worm terjed az IM hálózatokon. Az egyik bejegyzés szerint Hollandiában bukkant fel egy féreg, amely az MSN hálózaton terjed, és egy deformált WMF filera mutató linket küldözget. A link xmas-2006 FUNNY.jpg-re végződik. A blog figyelmeztet, hogy ügyeljünk arra, hogy kitől, és milyen újévi üdvözletet olvasunk el!

A worm-ról szintén szól az F-Secure blogja is.

Szintén a F-Secure blogban olvashatjuk, hogy ugyan hivatalos javítás még nincs a Microsoft-tól - és ha hinni lehet a blogjuknak, akkor valószínűleg csak ezért külön nem is csinálnak -, de már elérhető egy kezdetleges, ideiglenes javítás-féleség Ilfak Guilfanov-tól. A javítás megpatcheli a GDI32.DLL-ben az Escape() funkciót, így biztosítva, hogy az exploit ne okozhasson problémát. Ezzel az ideiglenes javítással lehetővé válik, hogy továbbra is használhassuk a Windows thumbnail és képnézegető funkcióit, de nem kell tartanunk az esetleges ``fertőzéstől''. A hiba kijavítója nem ismeretlen ember, a blog szerint a világ egyik legképzettebb low-level Windows szakértőjéről van szó. Az ideiglenes fix készítője azt javasolja, hogy a használói távolítsák el azt, amikor a Microsoft kiadja a hivatalos javítást.

( bbking | 2006. 01. 03., k – 19:26 )

csak én nem tudom elérni a http://www.hexblog.com/2005/12/wmf_vuln.html címet, vagy ti sem?

esetleg a féreg írói nem szeretnék, ha lenne patch a "művükre"? :)

( unranked | 2006. 01. 01., v – 20:20 )

" Az ideiglenes fix készítője azt javasolja, hogy a használói távolítsák el azt, amikor a Microsoft kiadja a hivatalos javítást."

Akkor sokáig fogják ezt a javítást használni :D

En feltelepitettem, mert a gyereknek nem mondhatom, hogy ezt ne nyissa, azt ne nyissa. es a kepek kellenek neki.

A srac mellekelte a patch-hez a teljes c++ forraskodot, es a forditashoz szukseges osszes infot, batch file-t. Az MS hetfon mar ki is adhatja sajatkent :-D

( unranked | 2006. 01. 01., v – 20:42 )

Egyébként ez a Windows 2000-re is vonatkozik ? Mert a felsorolásban én nem látom, a linkeknél se.

Az lenne a legviccesebb :D

Pontosítva: minden létező Windows veszélyeztett ?

De, ha már megvan az autóm, akkor a biztonságom szempontjából teljsen mindegy, hogy honnan tudja meg a szervíz, hogy hogy kell javítani. Viszont én nem szívesen veszek meg olyantól kocsit, akiről tudva levő, hogy még a saját gyártmányának a hibáit is mások tudják kijavítani (mert mi van, ha Józsi holnaptól megunja a kocsibütykülést, vagy na más márkára vált?)

Ilfak nem a szomszed Jozsija, hanem a legjobb publikus disassembler (IDA, datarescue.com) iroja (idestova 14+ eve gyurja, ha jol remlik). azt mondjuk nem mondanam rola, hogy annyira ert a Windows belso dolgaihoz, viszont a disassemblyhez igen, es igy nem volt akkora ordongosseg neki megpatchelni egy API-t.

( anr | 2006. 01. 02., h – 09:44 )

html level, ami belinkeli e kepet az is problematikus nem?

másrészt sajnallak titeket, hogy ilyen dolgokra is kell figyelnetek.

( vomberg | 2006. 01. 02., h – 17:47 )

Hálás köszönetem, a lányok gépei már meg is peccselődtek, nekem valami bash nevű alak morog, hogy nem tud mit kezdeni az efféle fájlokkal...;-)))

Ez jó nagy hülyeség volt.

A SANS szerint [isc.sans.org]:

* Should I just block all .WMF images?

This may help, but it is not sufficient. WMF files are recognized by a special header and the extension is not needed. The files could arrive using any extension, or embeded in Word or other documents.

( Nagyapa | 2006. 01. 02., h – 23:19 )

Akkor képzeljük el azt, hogy mi lenne ha hozzáférhetnének a "rossz fiúk" a windows forráskódjához?

Már ha most egy zártkódú rendszerhez ilyen széles vírus és féregpaletta "áll rendelkezésre"