-
Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов
Выполнение произвольного кода в Microsoft Windows при обработке WMF файлов
Windows XP/2003 Picture and Fax Viewer Metafile Overflow
Программа: Microsoft Windows XP, 2003
Опасность: Критическая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл.
Примечание: Уязвимость может быть эксплуатирована посредством Windows Explorer, даже если расширение злонамеренного файла было изменено на ".jpg", ".gif, ".tif", ".png" и другие форматы.
Пример эксплуатации уязвимости:
unionseek.com/d/t1/wmf_exp.htm
Warning the following URL successfully exploited a fully patched windows xp system with a freshly updated norton anti virus.
Код эксплоита:
Windows XP Picture and Fax Viewer Metafile Overflow Exploit (meta)
http://www.securitylab.ru/poc/243580.php
Решение: Способов устранения уязвимости не существует в настоящее время. Всем настоятельно рекомендуется не открывать недоверенные ".wmf" фалы и установить высокий уровень безопасности в Internet Explorer.
Источники: securitylab.ru
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Неофициальный Hotfix от автора IDA.
Windows WMF Metafile Vulnerability HotFix
This week a new vulnerability was found in Windows:
http://www.microsoft.com/technet/sec...ry/912840.mspx
Browsing the web was not safe anymore, regardless of the browser. Microsoft will certainly come up with a thouroughly tested fix for it in the future, but meanwhile I developed a temporary fix - I badly needed it.
The fix does not remove any functionality from the system, all pictures will continue to be visible. You can download it here:
http://www.hexblog.com/security/file..._hexblog14.exe
It should work for Windows 2000, XP SP2 and XP 64-bit. It might also work for XP SP1 or XP without any servicepacks applied.
Technical details: this is a DLL which gets injected to all processes loading user32.dll.It patches the Escape() function in gdi32.dll. The result of the patch is that the SETABORT escape sequence is not accepted anymore.
I can imagine situations when this sequence is useful. My patch completely disables this escape sequence, so please be careful. However, with the fix installed, I can browse files, print them and do other things.
If for some reason the patch does not work for you, please uninstall it. It will be in the list of installed programs as "Windows WMF Metafile Vulnerability HotFix". I'd like to know what programs are crippled by the fix, please tell me.
I recommend you to uninstall this fix and use the official patch from Microsoft as soon as it is available.
The usual software disclaimer applies...
File: wmffix_hexblog11.exe (the source code is included)
UPD: more error checkingUPD2: Version 1.1 with Win2000 support
Взято с www.hexblog.com
Последний раз редактировалось RiC; 03.01.2006 в 17:50.
-
-
В связи с тем, что Hexblog похоже прикрыли в связи с исчерпанием лимита по траффику,
хотфикс можно скачать отсюда
Последний раз редактировалось RiC; 04.01.2006 в 11:52.
-
-
Альтернативный способ - временно отключить библиотеку shimgvw.dll в операционной системе Windows
Очередность выполнения процедуры:
1. Кнопка Start
2. Меню Run
3. ввести команду regsvr32 /u %windir%\system32\shimgvw.dll
-
-
Побочный эффект - перестанет работать Windows Picture and Fax, по другим сообщениям, в Explorer'e перестануть работать thumbnails
Microsoft обещает выпустить патч аж 10 января
-
-
Я никогда не видел ТАКОЙ прыти от мелкософта - так напрячься .... ещё и в праздники - короче
http://www.microsoft.com/technet/sec.../MS06-001.mspx
Официальный Hotfix для этой дыры.
Последний раз редактировалось RiC; 06.01.2006 в 10:27.
-
-
RiC, респект за оперативность ссылки
-
-
-
-
Спасибо, обновил все компы.
-
-
Junior Member
- Вес репутации
- 70
Маленькое дополнение - если ранее по совету M$ кто-то отключал Windows Picture and Fax Viewer (разрегистрировал библиотеку shimgvw.dll), то не забудьте после патча ее снова зарегистрировать:
regsvr32 %windir%\system32\shimgvw.dll
т.к. патч этого почему-то не делает...
-
респект вам всем!!!!
у меня почему то это прога для просмотра картинок и факсов - сама отрубилась (после обновления, в начале месяца, чесла 4го).
и я не могу просматривать эскизы картинок, и сами картинки.
ща все сделал как тут написано - и все ок.
-