Poważna dziura w Windows WMF

We wszystkich wersjach Windows odkryto poważną dziurę umożliwiającą uruchomienie złośliwego kodu. Brak jest poprawki, jest za to exploit.

Problem jest związany z obsługą plików WMF (Windows Metafile) i dotyczy wszystkich wersji Windows do XP SP2 włącznie. Brak jest na razie poprawki ze strony Microsoftu.

Użytkownicy Internet Explorera mogą zostać zarażeni bez ich wiedzy po prostu wchodząc na stronę WWW zawierającą exploit. Użytkownicy Firefoksa pod Windows są bezpieczniejsi - do zarażenia dojdzie tylko po pobraniu i uruchomieniu pliku WMF, przy czym przeglądarka najpierw pyta nas o zgodę. Podobnie postępuje Opera.

Jednak w systemach, w których jest zainstalowany Google Desktop Search wystarczy samo pobranie pliku (nawet za pomocą Wget), ponieważ GDS uruchomi dziurawą bibliotekę Windows na pobranym pliku i... zarazi system za nas.

Dziura jest już aktywnie wykorzystywana do dystrybuowania koni trojańskich i spyware. Jest to więc kolejny przypadek tzw. "0-day exploit" czyli dziury, która jest wykorzystywana do złośliwych celów przed publicznym jej ujawnieniem i - co gorsza - udostępnieniem poprawek.

Źródłem koni trojańskich wykorzystujących dziurę w WMF jest prawdopodobnie Rosja. F-Secure zaleca blokowanie na zaporach jakiekolwiek dostępu do następujących domen, wykorzystywanych przez wymienione programy:

Crackz [kropka] ws

unionseek [kropka] com

www.tfcco [kropka] com

Iframeurl [kropka] biz

beehappyy [kropka] biz

Większość programów antywirusowych powinna z wczorajszym uaktualnieniem pobrać sygnaturę pozwalającą na blokowanie wirusa.

Więcej informacji: SA18255

Aktualizacja: 29 grudnia 2005 15:48

Microsoft potwierdził, że dziura dotyczy wszystkich głównych linii Windows: Windows ME, Windows 2000, Windows XP and Windows 2003. Błąd, który ją powoduje leży w bibliotece Shimgvw.dll wykorzystywanej przez Windows Picture and Fax Viewer.

Skutecznym i zalecanym przez Microsoft obejściem dziury do czasu opublikowania poprawki jest wyłączenie tej biblioteki:

1. Uruchamiamy Start->Uruchom

2. Wpisujemy polecenie "regsvr32 -u %windir%\system32\shimgvw.dll" (bez cudzysłowów)

3. Pojawi się okienko potwierdzające odrejestrowanie bibliteki

Procedura spowoduje że nie będzie działać podgląd obrazków za pomocą wbudowanej w Windows przeglądarki (Windows Picture and Fax Viewer). Po instalacji poprawki można ją odwrócić, pomijając opcję "-u" w poleceniu "regsvr32".

Do listy domen blokowany na zaporach należy dopisać poniższe domeny, wykorzystywane przez programy pobierające konie trojańskie i spyware po wykorzystaniu dziury WMF:

toolbarbiz[dot]biz

toolbarsite[dot]biz

toolbartraff[dot]biz

toolbarurl[dot]biz

buytoolbar[dot]biz

buytraff[dot]biz

iframebiz[dot]biz

iframecash[dot]biz

iframesite[dot]biz

iframetraff[dot]biz

iframeurl[dot]biz

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200