Осторожно: уязвимость в обработке WMF

Trams · 18 січня, 2006

Корпорация Microsoft выпустила предостережение всем пользователям операционной системы Windows. В рамках базы Microsoft Security Advisory этот инцидент пронумерован как 912840.

Уязвимость кроется в том, как в операционной системе Windows обрабатывается файлы WMF (16-разрядный формат, содержащий векторную и растровую графику). Уязвимости подвержены пользователи:

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1

Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003

Microsoft Windows Server 2003 для Itanium-систем

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 c SP1 для Itanium-систем

Microsoft Windows Server 2003 x64 Edition

Microsoft Windows Server 2003 R2

Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) и Microsoft Windows Millennium Edition (ME)

Возможные виды злоумышленных действий:

И как это избежать читайте далее...

Атаке через web-ресурс злоумышленник создаёт сайт, содержащий страницу, использующую уязвимость WMF. Так что в этом случае злоумышленник должен будет заманить жертву на свой сайт и заставить кликнуть на специально сформированную ссылку.

В атаке через электронную почту злоумышленник должен заставить жертву открыть искомое почтовое сообщение и кликнуть на специально сформированную ссылку.

Злоумышленник, успешно использовавший уязвимость WMF получает те же права, что и локальный пользователь скомпрометированной системы. Таким образом, пользователи с ограниченными правами будут находиться в меньшей опасности, чем те, кто зашёл в систему с администраторскими привилегиями.

По умолчанию Internet Explorer под Windows Server 2003, Windows Server 2003 Service Pack 1, Windows Server 2003 с Service Pack 1 для Itanium-систем и Windows Server 2003 x64 Edition - запущен в режиме Enhanced Security Configuration. Этот режим поможет ограничить пути взлома системы. Кроме того, использование простого текстового формата в электронной почте также поможет уменьшить риск.

В качестве одной из кардинальных рекомендаций по предотвращению использования уязвимости корпорация Microsoft предлагает пользователям Windows XP SP1; Windows XP SP2; Windows Server 2003 и Windows Server 2003 SP1 исключить из списка загружаемых динамическую библиотеку shimgvw.dll.

Нажмите кнопку Start, выберите Run, наберите строку:

regsvr32 -u %windir%\system32\shimgvw.dll

...нажмите Enter и подтвердите своё действие. После этого программа просмотра изображений Windows Picture and Fax Viewer перестанет использоваться в качестве средства просмотра изображений. Для того, чтобы вернуть её функционал, наберите строку:

regsvr32 %windir%\system32\shimgvw.dll

В настоящее время патча для данной уязвимости у корпорации Microsoft не имеется. Уже известен тот факт, что в Интернет доступны реальные рабочие эксплойты для этой лазейки в систему, так что будьте осторожны. Если вы опасаетесь за систему - уберите динамическую библиотеку shimgvw.dll из списка загрузки