Показано с 1 по 11 из 11.

Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636

    Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов

    Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов
    Windows XP/2003 Picture and Fax Viewer Metafile Overflow

    Программа: Microsoft Windows XP, 2003
    Опасность: Критическая
    Наличие эксплоита: Да

    Описание:
    Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

    Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл.

    Примечание: Уязвимость может быть эксплуатирована посредством Windows Explorer, даже если расширение злонамеренного файла было изменено на ".jpg", ".gif, ".tif", ".png" и другие форматы.

    Пример эксплуатации уязвимости:
    unionseek.com/d/t1/wmf_exp.htm
    Warning the following URL successfully exploited a fully patched windows xp system with a freshly updated norton anti virus.

    Код эксплоита:
    Windows XP Picture and Fax Viewer Metafile Overflow Exploit (meta)
    http://www.securitylab.ru/poc/243580.php

    Решение: Способов устранения уязвимости не существует в настоящее время. Всем настоятельно рекомендуется не открывать недоверенные ".wmf" фалы и установить высокий уровень безопасности в Internet Explorer.

    Источники: securitylab.ru

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544

    Неофициальный Hotfix от автора IDA.

    Windows WMF Metafile Vulnerability HotFix

    This week a new vulnerability was found in Windows:

    http://www.microsoft.com/technet/sec...ry/912840.mspx

    Browsing the web was not safe anymore, regardless of the browser. Microsoft will certainly come up with a thouroughly tested fix for it in the future, but meanwhile I developed a temporary fix - I badly needed it.

    The fix does not remove any functionality from the system, all pictures will continue to be visible. You can download it here:

    http://www.hexblog.com/security/file..._hexblog14.exe

    It should work for Windows 2000, XP SP2 and XP 64-bit. It might also work for XP SP1 or XP without any servicepacks applied.

    Technical details: this is a DLL which gets injected to all processes loading user32.dll.It patches the Escape() function in gdi32.dll. The result of the patch is that the SETABORT escape sequence is not accepted anymore.

    I can imagine situations when this sequence is useful. My patch completely disables this escape sequence, so please be careful. However, with the fix installed, I can browse files, print them and do other things.

    If for some reason the patch does not work for you, please uninstall it. It will be in the list of installed programs as "Windows WMF Metafile Vulnerability HotFix". I'd like to know what programs are crippled by the fix, please tell me.

    I recommend you to uninstall this fix and use the official patch from Microsoft as soon as it is available.

    The usual software disclaimer applies...

    File: wmffix_hexblog11.exe (the source code is included)

    UPD: more error checkingUPD2: Version 1.1 with Win2000 support

    Взято с www.hexblog.com
    Последний раз редактировалось RiC; 03.01.2006 в 17:50.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    В связи с тем, что Hexblog похоже прикрыли в связи с исчерпанием лимита по траффику,
    хотфикс можно скачать отсюда
    Последний раз редактировалось RiC; 04.01.2006 в 11:52.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    Альтернативный способ - временно отключить библиотеку shimgvw.dll в операционной системе Windows
    Очередность выполнения процедуры:
    1. Кнопка Start
    2. Меню Run
    3. ввести команду regsvr32 /u %windir%\system32\shimgvw.dll

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    Побочный эффект - перестанет работать Windows Picture and Fax, по другим сообщениям, в Explorer'e перестануть работать thumbnails
    Microsoft обещает выпустить патч аж 10 января

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544

    Exclamation

    Я никогда не видел ТАКОЙ прыти от мелкософта - так напрячься .... ещё и в праздники - короче
    http://www.microsoft.com/technet/sec.../MS06-001.mspx
    Официальный Hotfix для этой дыры.
    Последний раз редактировалось RiC; 06.01.2006 в 10:27.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    RiC, респект за оперативность ссылки

  9. #8
    Geser
    Guest
    Спасибо за ссылочку

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    Спасибо, обновил все компы.

  11. #10
    Junior Member Репутация
    Регистрация
    03.03.2005
    Сообщений
    55
    Вес репутации
    43
    Маленькое дополнение - если ранее по совету M$ кто-то отключал Windows Picture and Fax Viewer (разрегистрировал библиотеку shimgvw.dll), то не забудьте после патча ее снова зарегистрировать:
    regsvr32 %windir%\system32\shimgvw.dll
    т.к. патч этого почему-то не делает...

  12. #11
    гость
    Guest
    респект вам всем!!!!
    у меня почему то это прога для просмотра картинок и факсов - сама отрубилась (после обновления, в начале месяца, чесла 4го).
    и я не могу просматривать эскизы картинок, и сами картинки.
    ща все сделал как тут написано - и все ок.

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 15.09.2010, 10:19
  2. Ответов: 0
    Последнее сообщение: 13.04.2010, 22:47
  3. Ответов: 0
    Последнее сообщение: 19.08.2008, 10:30
  4. Ответов: 0
    Последнее сообщение: 08.02.2006, 14:49
  5. Ответов: 0
    Последнее сообщение: 24.01.2006, 22:20

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00687 seconds with 23 queries