Показано с 1 по 11 из 11.

Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662

    Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов

    Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов
    Windows XP/2003 Picture and Fax Viewer Metafile Overflow

    Программа: Microsoft Windows XP, 2003
    Опасность: Критическая
    Наличие эксплоита: Да

    Описание:
    Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

    Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл.

    Примечание: Уязвимость может быть эксплуатирована посредством Windows Explorer, даже если расширение злонамеренного файла было изменено на ".jpg", ".gif, ".tif", ".png" и другие форматы.

    Пример эксплуатации уязвимости:
    unionseek.com/d/t1/wmf_exp.htm
    Warning the following URL successfully exploited a fully patched windows xp system with a freshly updated norton anti virus.

    Код эксплоита:
    Windows XP Picture and Fax Viewer Metafile Overflow Exploit (meta)
    http://www.securitylab.ru/poc/243580.php

    Решение: Способов устранения уязвимости не существует в настоящее время. Всем настоятельно рекомендуется не открывать недоверенные ".wmf" фалы и установить высокий уровень безопасности в Internet Explorer.

    Источники: securitylab.ru

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571

    Неофициальный Hotfix от автора IDA.

    Windows WMF Metafile Vulnerability HotFix

    This week a new vulnerability was found in Windows:

    http://www.microsoft.com/technet/sec...ry/912840.mspx

    Browsing the web was not safe anymore, regardless of the browser. Microsoft will certainly come up with a thouroughly tested fix for it in the future, but meanwhile I developed a temporary fix - I badly needed it.

    The fix does not remove any functionality from the system, all pictures will continue to be visible. You can download it here:

    http://www.hexblog.com/security/file..._hexblog14.exe

    It should work for Windows 2000, XP SP2 and XP 64-bit. It might also work for XP SP1 or XP without any servicepacks applied.

    Technical details: this is a DLL which gets injected to all processes loading user32.dll.It patches the Escape() function in gdi32.dll. The result of the patch is that the SETABORT escape sequence is not accepted anymore.

    I can imagine situations when this sequence is useful. My patch completely disables this escape sequence, so please be careful. However, with the fix installed, I can browse files, print them and do other things.

    If for some reason the patch does not work for you, please uninstall it. It will be in the list of installed programs as "Windows WMF Metafile Vulnerability HotFix". I'd like to know what programs are crippled by the fix, please tell me.

    I recommend you to uninstall this fix and use the official patch from Microsoft as soon as it is available.

    The usual software disclaimer applies...

    File: wmffix_hexblog11.exe (the source code is included)

    UPD: more error checkingUPD2: Version 1.1 with Win2000 support

    Взято с www.hexblog.com
    Последний раз редактировалось RiC; 03.01.2006 в 17:50.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    В связи с тем, что Hexblog похоже прикрыли в связи с исчерпанием лимита по траффику,
    хотфикс можно скачать отсюда
    Последний раз редактировалось RiC; 04.01.2006 в 11:52.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Альтернативный способ - временно отключить библиотеку shimgvw.dll в операционной системе Windows
    Очередность выполнения процедуры:
    1. Кнопка Start
    2. Меню Run
    3. ввести команду regsvr32 /u %windir%\system32\shimgvw.dll

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Побочный эффект - перестанет работать Windows Picture and Fax, по другим сообщениям, в Explorer'e перестануть работать thumbnails
    Microsoft обещает выпустить патч аж 10 января

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571

    Exclamation

    Я никогда не видел ТАКОЙ прыти от мелкософта - так напрячься .... ещё и в праздники - короче
    http://www.microsoft.com/technet/sec.../MS06-001.mspx
    Официальный Hotfix для этой дыры.
    Последний раз редактировалось RiC; 06.01.2006 в 10:27.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    RiC, респект за оперативность ссылки

  9. #8
    Geser
    Guest
    Спасибо за ссылочку

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Спасибо, обновил все компы.

  11. #10
    Junior Member Репутация
    Регистрация
    03.03.2005
    Сообщений
    55
    Вес репутации
    70
    Маленькое дополнение - если ранее по совету M$ кто-то отключал Windows Picture and Fax Viewer (разрегистрировал библиотеку shimgvw.dll), то не забудьте после патча ее снова зарегистрировать:
    regsvr32 %windir%\system32\shimgvw.dll
    т.к. патч этого почему-то не делает...

  12. #11
    гость
    Guest
    респект вам всем!!!!
    у меня почему то это прога для просмотра картинок и факсов - сама отрубилась (после обновления, в начале месяца, чесла 4го).
    и я не могу просматривать эскизы картинок, и сами картинки.
    ща все сделал как тут написано - и все ок.

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01352 seconds with 19 queries