English version

Odgovori na najpogostejša vprašanja o ranljivosti WMF

Objavljeno: 1. januar 2006
Spremenjeno: 7. januar 2006 (dodane povezave na Microsoftov popravek)

Z izkoriščanjem napake pri prikazu slik WMF je možno izvajati poljubno kodo. Dovolj je, da si uporabnik ogleda sliko. V večini primerov sploh ni potrebno ničesar klikniti. Celo datoteke WMF, ki so shranjene na disku, se lahko samodejno izvedejo, če jih indeksira kakšen izmed programov za indeksiranje. Ogled imenika v Raziskovalcu z vklopljenim prikazom ikon zadostuje za izvajanje vsebine WMF datoteke. Microsoft je že objavil popravek napake (čeprav so sprva napovedali, da bo objavljen šele 10. januarja 2006).
  • Ali je Firefox manj ranljiv kot Internet Explorer?
Internet Explorer bo slike prikazal in izvedel kodo brez opozorila. Novejše verzije programa Firefox uporabnika pred odpiranjem slike opozorijo. V večini okolij na žalost to ne predstavlja dodatne zaščite, saj gre za slike, le-te pa se smatrajo za "varne".
  • Katere verzije operacijskega sistema Windows so prizadete?
Vse. Windows 2000, Windows XP, (SP1 in SP2), Windows 2003. Napaka ne ogroža Mac OS-X, Unix ali BSD okolij.

Opomba: če se vedno uporabljate Win98/ME, potem ste verjetno ranljivi, vendar Microsoft ne bo objavil popravka. Resnično je čas za prehod na novejši operacijski sistem.
  • Kako se lahko zaščitimo?

Čimprej morate namestiti popravek, ki ga je objavil Microsoft.

Če ste namestili začasen popravek, ki ga je napisal Ilfak Guilfanov, ga odstranite preko Dodaj/Odstrani programe ali z ukazom:

msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn

Če ste odregistrirali knjižnico shimgvw.dll, restartajte računalnik in jo registrirajte ponovno:

Kliknite Start, Run (Zagon), vpišite "regsvr32 %windir%\system32\shimgvw.dll" (brez narekovajev), in OK (V redu).

  • Kako neuradni popravek deluje?
wmfhotfix.dll se vrine v vsak proces, ki uporablja user32.dll.  DLL zatem spremeni (v pomnilniku) funkcijo Escape() knjižnice gdi32.dll tako, da le-ta ignorira klice z uporabo parametra SETABORTPROC (0x09). To omogoča Windows programom prikaz WMF datotek, vendar onemogoči napako.
  • Kako preverim, ali je moj računalnik ranljiv?
Naredili smo sliko, ki sproži Kalkulator, če obiščete naslov http://sipr.net/test.wmf . Večina protivirusnih programov vas bo opozorila, da je datoteka okužena.
  • Ali me odregistriranje DLL-a (brez uporabe neuradnega popravka) zaščiti?
Pomaga, vendar ni popolnoma zanesljivo. Obstaja možnost, da odregistriranje shimgvw.dll ni vedno uspešno. Knjižnico lahko ponovno registrira kakšen drug proces ali namestitev. Poleg tega obstaja možnost, da se lahko napako v funkciji Escape() knjižnice gdi32.dll sproži tudi na kakšen drug način.  Dokler Microsoft ne objavi popravka priporočamo uporabo neuradnega popravka in odregistiranje shimgvw.dll.
  • Ali naj datoteko DLL zbrišem?
To morda ni slaba ideja, vendar jo bo Windows File Protection verjetno ponovno namestil. Potrebno je izklopiti Windows File Protection. Ko bo na voljo uraden popravek, bo potrebno DLL nadomestiti. (Zato priporočamo preimenovanje namesto brisanja.)
  • Ali naj blokiram vse .WMF slike?
To pomaga, vendar ni dovolj. WMF datoteke se prepoznajo glede na glavo in podaljšek ni pomemben. Lahko vsebujejo katerikoli podaljšek, lahko so tudi vsebovane v Word in drugih dokumentih.
  • Kaj je DEP (Data Execution Protection) in ali mi pomaga?
V operacijskem sistemu Windows XP SP2 je Microsoft predstavil DEP. Ta ščiti pred mnogimi napakami z onemogočanjem izvajanja podatkovnih delov pomnilnika. Vendar je za delovanje potrebna ustrezna strojna oprema. Nekateri procesorji, naprimer 64-bitni AMD, vsebujejo DEP zaščito in onemogočijo izvajanje ranljivosti. Več informacij o DEP.
  • Kako uspešni so protivirusni programi?
Trenutno ostajajo verzije, ki jih protivirusni programi še ne zaznajo. Protivirusni programi so potrebni, vendar ne onemogočijo vseh trenutno znanih verzij.
  • Kako lahko nevarne WMF datoteke pridejo na moj računalnik?
Obstaja veliko možnosti. Od elektronske pošte, spletnih strani, programov za pogovarjanje, programov za izmenjavo datotek, ...
  • Ali je dovolj, če uporabniki ne obiskujejo nevarnih spletnih strani?
Ne. To sicer pomaga, vendar ne zadošča. Obstaja naprimer zelo popularna stran, namenjena računalniški varnosti (knoppix-std.org), na katero so neznanci namestili povezavo na prirejeno WMF datoteko.
  • Zakaj so WMF slike sploh problematične?
WMF slike se razlikujejo od ostalih slik. Namesto da bi vsebovale zgolj podatke "ta točka je take barve", lahko vsebujejo tudi klice zunanjih funkcij. Ena izmed njih omogoča izvajanje poljubnih ukazov.
  • Ali naj uporabljam programe kot je "dropmyrights" za zmanjšanje tveganja?
Vsekakor. Za vsakodnevno delo ni pametno uporabljati uporabniškega imena z administratorskimi pravicami. Pri tej konkretni napaki sicer to zmanjša tveganje, vendar ga ne prepreči. Poleg tega obiskovanje spletnih strani ni edini način okužbe. Če slika ostane na računalniku, jo lahko kasneje izvedete z administratorskimi pravicami.
  • Ali so ranljivi tudi strežniki?
Verjetno... Ali omogočate prikaz slik? Pošiljanje elektronske pošte? Ali se slike indeksirajo? Ali na strežniku uporabljate spletni brskalnik? Na kratko: če lahko nekdo pošlje sliko na vaš strežnik in jo ranljiva DLL knjižnica odpre, je vaš strežnik ogrožen.
  • Kaj lahko naredim na požarnem zidu?
Ne veliko. Če boste onemogočili prikaz slik na spletnih straneh, uporabniki verjetno ne bodo veseli. Lahko pa blokirate vsaj podaljšek .WMF. To velja tudi za poštne strežnike.
  • Ali IDS orodja zaznajo napako?
Večina ponudnikov IDS orodij pripravlja ustrezne podpise. Preverite pri proizvajalcu. Bleedingsnort.org jih pripravlja za uporabnike orodja snort.
  • Kaj naj naredim, če sem pognal prirejeno WMF datoteko?
Ne veliko :-(. Odvisno od tega, kakšne ukaze je le-ta vsebovala. Večina jih sname dodatne datoteke, tako da je težko najti vse dele. Za pomoč se lahko obrnete na Microsoft, številka (01) 5 484 100.
  • Ali je Microsoft objavil dodatne informacije?

Informacije v angleškem jeziku so na voljo na naslovu:
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft je uraden popravek napake objavil na naslovu:
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

  • Kaj o napaki pravi CERT?

Informacije v angleškem jeziku:
http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560

(Prevod: Dalibor Cerar)