Корпорация Microsoft выпустила предостережение всем пользователям операционной системы Windows. В рамках базы Microsoft Security Advisory этот инцидент пронумерован как 912840.
Уязвимость кроется в том, как в операционной системе Windows обрабатывается файлы WMF (16-разрядный формат, содержащий векторную и растровую графику). Уязвимости подвержены пользователи:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 для Itanium-систем
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 c SP1 для Itanium-систем
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows Server 2003 R2
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) и Microsoft Windows Millennium Edition (ME)
Возможные виды злоумышленных действий:
И как это избежать читайте далее...
Атаке через web-ресурс злоумышленник создаёт сайт, содержащий страницу, использующую уязвимость WMF. Так что в этом случае злоумышленник должен будет заманить жертву на свой сайт и заставить кликнуть на специально сформированную ссылку.
В атаке через электронную почту злоумышленник должен заставить жертву открыть искомое почтовое сообщение и кликнуть на специально сформированную ссылку.
Злоумышленник, успешно использовавший уязвимость WMF получает те же права, что и локальный пользователь скомпрометированной системы. Таким образом, пользователи с ограниченными правами будут находиться в меньшей опасности, чем те, кто зашёл в систему с администраторскими привилегиями.
По умолчанию Internet Explorer под Windows Server 2003, Windows Server 2003 Service Pack 1, Windows Server 2003 с Service Pack 1 для Itanium-систем и Windows Server 2003 x64 Edition - запущен в режиме Enhanced Security Configuration. Этот режим поможет ограничить пути взлома системы. Кроме того, использование простого текстового формата в электронной почте также поможет уменьшить риск.
В качестве одной из кардинальных рекомендаций по предотвращению использования уязвимости корпорация Microsoft предлагает пользователям Windows XP SP1; Windows XP SP2; Windows Server 2003 и Windows Server 2003 SP1 исключить из списка загружаемых динамическую библиотеку shimgvw.dll.
Нажмите кнопку Start, выберите Run, наберите строку:
regsvr32 -u %windir%\system32\shimgvw.dll
...нажмите Enter и подтвердите своё действие. После этого программа просмотра изображений Windows Picture and Fax Viewer перестанет использоваться в качестве средства просмотра изображений. Для того, чтобы вернуть её функционал, наберите строку:
regsvr32 %windir%\system32\shimgvw.dll
В настоящее время патча для данной уязвимости у корпорации Microsoft не имеется. Уже известен тот факт, что в Интернет доступны реальные рабочие эксплойты для этой лазейки в систему, так что будьте осторожны. Если вы опасаетесь за систему - уберите динамическую библиотеку shimgvw.dll из списка загрузки
