Ημέρα-Μηδέν για τα windows
Ασφάλεια - 04/01/2006Η Inter Engineering προειδοποιεί σχετικά με την zero-day (ημέρα-μηδέν) ευαισθησία, η οποία σχετίζεται με τα ".wmf” αρχεία των windows και αν και έχει ανακαλυφθεί από τις 27 Δεκεμβρίου ακόμη δεν έχει καλυφθεί με κάποιο patch από την Microsoft. Αν και η Microsoft ανακοίνωσε ότι έχει τελειώσει με την ανάπτυξη της αναβάθμισης ασφαλείας, ακόμη είναι σε περίοδο δοκιμής και δεν αναμένεται να την κυκλοφορήσει δημόσια πριν τις 10 Ιανουαρίου 2006. Έως τότε βλέπουμε Trojan downloaders να εκμεταλλεύονται δραστικά την ευαισθησία αυτή, ακόμη και σε μηχανήματα με Windows XP SP2.
Η ευαισθησία αυτή προκαλείται από κάποιο πρόβλημα διαχείρισης κατεστραμμένων αρχείων Windows Metafile (".wmf"), τα οποία είναι αρχεία εικόνων που χρησιμοποιούνται από δημοφιλείς εφαρμογές. Μέσω αυτής της ευαισθησίας θα μπορούσε κάποιος hacker να εκτελέσει κώδικα, ξεγελώντας τον χρήστη να ανοίξει ένα κακόβουλο ".wmf" αρχείο με τον ”Windows Picture and Fax Viewer” ή κάνοντας επισκόπηση του αρχείου στον explorer (π.χ. επιλέγοντας το αρχείο). Οι χρήστες μπορούν επίσης να μολυνθούν, απλά επισκέπτοντας ένα κακόβουλο web site, το οποίο περιέχει ένα τέτοιο ".wmf" αρχείο.
Η Microsoft επιβεβαίωσε ότι η ευαισθησία αυτή υπάρχει σε όλες τις κύριες εκδόσεις των Windows: Windows ME, Windows 2000, Windows XP και Windows 2003 πράγμα το οποίο σημαίνει ότι αυτή τη στιγμή υπάρχουν εκατομμύρια υπολογιστές σε κίνδυνο.
Το F-Secure Anti-Virus ανιχνεύει τα κακόβουλα ".wmf" αρχεία με μια γενική ονομασία, είτε σαν PFV-Exploit είτε σαν Exploit.Win32.IMG-WMF
Σχετικά με την υπόθεση αυτή, ο Mikko Hypponen, Chief Research Officer της F-Secure, σχολιάζει: "Μέχρι στιγμής, έχουμε δει προσπάθειες εκμετάλλευσης της ευαισθησίας αυτής ώστε να εγκατασταθούν spyware ή να αγοραστούν μη υπαρκτά antispyware και antivirus λογισμικά. Φοβάμαι όμως πως πολύ σύντομα θα δούμε πραγματικούς ιούς. Μέχρι τώρα, έχουμε δει 70 διαφορετικές εκδόσεις κακόβουλων WMF αρχείων."
Η F-Secure συνιστά για την προστασία σας τα παρακάτω:
1) Σιγουρευτείτε ότι το antivirus σας είναι ενεργοποιημένο και έχει τις τελευταίες εκδόσεις ιων. Το F-Secure Anti-Virus ανιχνεύει όλες τις μέχρι τώρα γνωστές εκδόσεις, συνέχεια όμως βγαίνουν καινούργιες. Για περισσότερες πληροφορίες και ανανεώσεις σχετικά με αυτή την ευαισθησία, παρακαλούμε διαβάστε το Blog της F-Secure:
http://www.f-secure.com/weblog/
2) Εφαρμόστε την προσωρινή λύση που προτείνει η Microsoft (REGSVR32 /u shimgvw.dll). Δεν λύνει όλα τα προβλήματα αλλά απενεργοποιεί τους πιο προφανείς τρόπους εκμετάλλευσης της ευαισθησίας. http://www.microsoft.com/technet/security/advisory/912840.mspx
3) Εγκαταστήστε το μη-επίσημο patch του Ilfak Guilfanov, ενός από τους καλύτερους ειδικούς σε low-level windows θέματα . Η F-Secure έχει δοκιμάσει, ελέγξει, εγκαταστήσει στους δικούς της υπολογιστές και μπορεί να προτείνει το συγκεκριμένο patch.
http://www.hexblog.com (για Windows 2000, XP (SP1 και SP2), XP64, Windows 2003)
Προσθήκη άρθρου σε: Freestuff | Del.icio.us | | | | ForaCamp (top) |