PDA

Просмотр полной версии : Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов



Shu_b
28.12.2005, 16:01
Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов
Windows XP/2003 Picture and Fax Viewer Metafile Overflow

Программа: Microsoft Windows XP, 2003
Опасность: Критическая
Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл.

Примечание: Уязвимость может быть эксплуатирована посредством Windows Explorer, даже если расширение злонамеренного файла было изменено на ".jpg", ".gif, ".tif", ".png" и другие форматы.

Пример эксплуатации уязвимости:
unionseek.com/d/t1/wmf_exp.htm
Warning the following URL successfully exploited a fully patched windows xp system with a freshly updated norton anti virus.

Код эксплоита:
Windows XP Picture and Fax Viewer Metafile Overflow Exploit (meta)
http://www.securitylab.ru/poc/243580.php

Решение: Способов устранения уязвимости не существует в настоящее время. Всем настоятельно рекомендуется не открывать недоверенные ".wmf" фалы и установить высокий уровень безопасности в Internet Explorer.

Источники: securitylab.ru (http://www.securitylab.ru/vulnerability/243581.php)

RiC
01.01.2006, 11:37
Windows WMF Metafile Vulnerability HotFix

This week a new vulnerability was found in Windows:

http://www.microsoft.com/technet/security/advisory/912840.mspx

Browsing the web was not safe anymore, regardless of the browser. Microsoft will certainly come up with a thouroughly tested fix for it in the future, but meanwhile I developed a temporary fix - I badly needed it.

The fix does not remove any functionality from the system, all pictures will continue to be visible. You can download it here:

http://www.hexblog.com/security/files/wmffix_hexblog14.exe

It should work for Windows 2000, XP SP2 and XP 64-bit. It might also work for XP SP1 or XP without any servicepacks applied.

Technical details: this is a DLL which gets injected to all processes loading user32.dll.It patches the Escape() function in gdi32.dll. The result of the patch is that the SETABORT escape sequence is not accepted anymore.

I can imagine situations when this sequence is useful. My patch completely disables this escape sequence, so please be careful. However, with the fix installed, I can browse files, print them and do other things.

If for some reason the patch does not work for you, please uninstall it. It will be in the list of installed programs as "Windows WMF Metafile Vulnerability HotFix". I'd like to know what programs are crippled by the fix, please tell me.

I recommend you to uninstall this fix and use the official patch from Microsoft as soon as it is available.

The usual software disclaimer applies...

File: wmffix_hexblog11.exe (the source code is included)

UPD: more error checkingUPD2: Version 1.1 with Win2000 support

Взято с www.hexblog.com (http://www.hexblog.com/2005/12/wmf_vuln.html#more)

RiC
04.01.2006, 11:44
В связи с тем, что Hexblog похоже прикрыли в связи с исчерпанием лимита по траффику,
хотфикс можно скачать отсюда (http://handlers.sans.org/tliston/wmffix_hexblog14.exe)

HATTIFNATTOR
05.01.2006, 00:22
Альтернативный способ - временно отключить библиотеку shimgvw.dll в операционной системе Windows
Очередность выполнения процедуры:
1. Кнопка Start
2. Меню Run
3. ввести команду regsvr32 /u %windir%\system32\shimgvw.dll

SDA
05.01.2006, 15:13
Побочный эффект - перестанет работать Windows Picture and Fax, по другим сообщениям, в Explorer'e перестануть работать thumbnails
Microsoft обещает выпустить патч аж 10 января :300:

RiC
06.01.2006, 00:32
Я никогда не видел ТАКОЙ прыти от мелкософта - так напрячься .... ещё и в праздники - короче
http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx
Официальный Hotfix для этой дыры.

SDA
06.01.2006, 01:22
RiC, респект за оперативность ссылки :)

Geser
06.01.2006, 11:24
Спасибо за ссылочку

anton_dr
06.01.2006, 11:43
Спасибо, обновил все компы.

DenZ
06.01.2006, 22:41
Маленькое дополнение - если ранее по совету M$ кто-то отключал Windows Picture and Fax Viewer (разрегистрировал библиотеку shimgvw.dll), то не забудьте после патча ее снова зарегистрировать:
regsvr32 %windir%\system32\shimgvw.dll
т.к. патч этого почему-то не делает...

гость
12.01.2006, 09:37
респект вам всем!!!!
у меня почему то это прога для просмотра картинок и факсов - сама отрубилась (после обновления, в начале месяца, чесла 4го).
и я не могу просматривать эскизы картинок, и сами картинки.
ща все сделал как тут написано - и все ок.