Windowsin uuteen haavoittuvuuteen korjausohje F-Securelta

Ainakin hiukan turvallisempi mutta silti odotellaan tätä microsoftin uutta korjauspäivitystä tähän ongelmaan joka parin viikon sisään pitää tulla.

 

http://www.ficora.fi/suomi/tietoturva/cert.htm#2006-01-01_1300

Ilfak Guilfanov on julkistanut epävirallisen korjaustiedoston WMF-haavoittuvuuteen. Useat eri tietoturvatoimijat ovat analysoineet korjaustiedostoa ja todenneet sen asianmukaiseksi ja toimivaksi. Kysessä on kuitenkin epävirallinen korjaustiedosto, joka kannattaa poistaa kun virallinen Microsoftin laatima korjaustiedosto julkistetaan. Korjauksen toimivuutta ja yhteensopivuutta tai haittavaikutuksia ei ole täydellisesti varmistettu. Päivityksellä ei ole Microsoftin tukea eikä hyväksyntää. Päivitys on raporttien mukaan asnnettavissa ja poistettavissa keskitetyillä ohjelmistohallintatyökaluilla. Raporttien mukaan korjaustiedosto toimii Windows XP SP1 ja SP2 sekä Windows 2000 -käyttöjärjestelmäympäristöissä.

Linkit Ilfak Guilfanovin blogiin korjaustiedostosta ja analyyseihin korjauksen toimivuudesta:

http://www.hexblog.com/2005/12/wmf_vuln.html

 

Tilanne on karkaamassa käsistä, joten Windows-käyttäjiä kehotetaan wmf-hätäkorjauksiin

Niin tietoturvayritykset, viranomaiset kuin Microsoftkin kehottavat Windows-käyttäjiä hätäkorjauksiin erittäin vaarallisten wmf-kuvatiedostohyökkäysten torjumiseksi.

Tällä kertaa kone saattaa saastua ilman mitään käyttäjän toimia, eikä edes virustorjuntaohjelma välttämättä auta.

Internet Storm Center kertoo, ettei Microsoft näytä pystyvän toimittamaan korjausta wmf-ongelmaan ehkäpä vielä reiluun viikkoon. Samalla rikolliset hyödyntävät turva-aukkoja laajalti, ja tilanne on käymässä entistäkin vaarallisemmaksi.

Tietokone voi saastua automaattisesti, jos esimerkiksi sähköpostiohjelma on auki. Hyökkäyskoodi lähtee pyörimään heti, kun wmf-kuvan sisältämä posti on tullut ohjelmaan, ilman mitään käyttäjän toimia.

Lukekaa tuolta uutinen kokonaan:

http://www.tietokone.fi/uutta/uutinen.asp?news_id=25613&tyyppi=1

 

http://www.tietokone.fi/uutta/uutinen.asp?news_id=25612

Toi juttu oikeastaan kertoo, että miten vaikeasta ongelmasta tässä nyt tällä kertaa on kyse.

Voi olla, että ton täydellinen paikkaminen voi viedä huomattavan kauan aikaa. Tossa voi olla suuria ongelmia säilyttää formaatti toimivana samalla kun noi aukot tukitaan.

 

"Koivunen kertoo suurimman vaaran olevan, että haittakoodin levittäjät pääsisivät murtautumaan mainoksia eli bannereita ylläpitäville palvelimille. Merkkejä murtoyrityksistä on jo saatu.

Banneripalvelimien mainoksia käytetään usein muilla internetsivuilla. Siten haittakoodia voitaisiin levittää mainosten avulla muuten täysin luotettavien verkkosivujen kautta."

http://www.iltalehti.fi/osastot/arki/200512303909646_ar.shtml


Tietokone-lehden uutisesta:
"Tietokone voi saastua automaattisesti, jos esimerkiksi sähköpostiohjelma on auki. Hyökkäyskoodi lähtee pyörimään heti, kun wmf-kuvan sisältämä posti on tullut ohjelmaan, ilman mitään käyttäjän toimia."


Eli parempi ku ei tarkasta maileja Outlookilla. Paras paikkaus tohon "aukkoon" olis varmaan se, että poistettais kokonaan kyseinen formaatti, koska eipä sitä juuri taideta nykyään edes käyttää.

 

hooo.... juu tuli tehtyä tuo reg "fixi" => prkl mä haluun nähdä thumbnails:t - liikaa valokuvia ym. joten komento takaisin (=regsvr32 %windir%\system32\shimgvw.dll).

Asensin tuo epävirallisen venäjä fixin...noh alko heti häiritsee..aina kun uusi ohjelma menossa nettiin Outpost pistää pop-up:n ja kyselee "tyhmiä"....noh ainakin se "toimii". Lisäksi tein tuon microsoftin "DEP fixin"...just joo....ei tykännyt mun Aston Shell:stä Joten sekin kaatui ekalla kerralla (nyt se "sallittujen" listalla)...

Siis tulihan testattua - DEP fix ja epävirallinen fix patch jäi...ainakin hetkeksi... Jos alkaa haittaa liikaa otan kaikki pois (palautan normaaliksi), koska tuo patch tulee ihan kivasti sinne "lisää/poista" ohjelmiin. Eli virallista patchiä odotelessa näillä eletään....vois sitä ilmankin elää mutta olkoot nyt.

 

Itselläni ei toiminut tuo regsrv32 jne korjaus vaan tuli tällanen ilmoitus:

http://img312.imageshack.us/img312/258/regsvr327dq.png

Tuo oli arvattavissa, koska koneelta ei löytynyt shimgvw.dll-tiedostoa. Mulla on Windows 98SE joten sillä tuo korjaus siis ei toimi.

Tarkoittaako tuo lainaus nyt sitten sitä, että win98:ssa voi huoletta käyttää IE:tä, Outlookkia ja exploreria?

 

Ei tarkoita.

F-Securen Mikko Hyppönen, sanoi juuri uutisissa kaikki 15 vuotta vanhat nt3.sta lähtien ovat haavoittuvia.

Blogista lainattua.....
Saturday, December 31, 2005 8:42 AM by Matti Aho Microsoft
# re: WMF-haavoittuvuus - ohjeita loppukäyttäjälle - Windows 2000
Hei,

Jos luitte tuon Microsoftin virallisen tiedotteen, johon on linkki KimmoB:n ensimmäisessä viestissä (viralliset tiedotteet on oikoluettukin, itse ainakin blogaan suoraan selaimeen), niin siellä ei mainita "regsvr32 -u..." kiertotietä Windows 2000:n kohdalla. Nykyisen tiedon mukaan komponentin rekisteröinnin poisto ei auta Windows 2000:ssa, joten Microsoft ei suosittele sitä.

Sama koskee myös Windows ME ja Windows 9x käyttöjärjestelmiä.

http://blogs.technet.com/tietoturvan_weblogi/archive/2005/12/30/416654.aspx

 

Microsoft kertoi verkkosivuillaan, että yhtiö on keksinyt haavoittuvuuteen lääkkeet ja julkaisee korjaustiedoston seuraavan päivityspakettinsa yhteydessä ensi viikon tiistaina. Korjaustiedoston tarvitsee ennen julkaisua kuitenkin läpäistä yhtiön omat laatutestit.
Virallisen tiedon lisäksi verkkoon levisi jo viikonloppuna toimivaksi kehuttu epävirallinen korjaus. Sen tehnyt llfak Guilfanovin kuitenkin kehottaa korvaamaan oman korjauksensa virallisella versiolla, kun sellainen tulee saataville.

 

Tuplat. Jes

*****yhtiön omat laatutestit.*****

 

http://www.f-secure.com/weblog/archives/archive-012006.html#00000764

Hmm...mielenkiintoista. Tuon ^ mukaan erityisesti Windows XP ja Server 2003 olisivat erityisen haavoittuvaisia

 

Varmaan johtuu siitä, että oletettavasti WMF:iin liitetty koodi on tehty yleensä tehty Windows 2000 -> käytettävissä olevilla Api kutsuilla.

 

XP:ssä ja 2003:ssa wmf:n sisältämä koodi ajetaan oletusarvoisesti automaattisesti, vanhemmissa winkkareissa vain, jos käyttäjä on itse asettanut ne aukeamaan.

Outlook:ia ei kyllä paljon kannata käyttää tai pitää auki ennen korjaustiedostoja, sille kun riittää, että joku lähettää sähköpostin, joka hyödyntää tuota ominaisuutta. Eli se joka saa koneelleen paljon viagra-mainoksia sun muuta spammia, tulee saamaan melko varmasti myös tähän ongelmaan liittyvän mailin.

 

Ongelma ei mielestäni todella ole tämännäköinen, kuin mitä puhutaan. Ei siis ole syytä aivan paniikissa olla, kun surffailee netissä mutta tärkeintä, että tietää missä menee eikä eksy polulta. Uutiset nyt moninpaikoin liiottelee. Tärkeintä vaan se kunhan ette käyttäisi Internet exploreria ja pidätte suojaohjelmista huolta niin kaikki on niinkuin ennekin.

 

regsvr32 -u %windir%\system32\shimgvw.dll

tuoko kokonaan siihen suorita kohtaan?

Mukaanlukien tuo väli ja "-u" ?

 

Ja Mozilla Firefox on turvallinen selain?

 

@Amga-Kun

Juuri se suorita riville.
Firefox on yksi turvallisimmista vaihtoehdoista =)

 

Lainaus Tietoviikosta:"Windows-tietokoneet voivat saastua yksinkertaisesti käydessään
Internet-sivuilla, joilla on WMF-haavoittuvuuden omaava kuvatiedosto.
Internet Explorer -selaimen käyttäjillä tartunta tapahtuu automaattisesti,
kun taas Firefox- ja Opera-selaimet kysyvät voidaanko kyseiset
WMF-kuvatiedostot avata. Kone saastuu heti, kun se saa luvan avata
kuvatiedoston".
Meinasin saada wmf-pöpön yheltä nettisivulta,mutta onneksi käytän Firefoxia,enkä avannut sitä wmf-kuvatiedostoa. Ja mun virustorjunta varoitti siitä tiedostosta. Jälleen yksi hyvä syy käyttää Firefoxia. IE sucks!