Haavoittuvuus Windows-käyttöjärjestelmän WMF-tiedostojen käsittelyssä

Windows Metafile (WMF) on Windows-käyttöjärjestelmien tukema grafiikkaformaatti. WMF-tiedostojen käsittelyrutiineihin liittyvän haavoittuvuuden hyväksikäyttämiseen liittyvää haittaohjelmakoodia on julkaistu tietoturva-aiheisella postituslistalla.

Internet Explorer -selainohjelman käyttäjät voivat saada haittaohjelmatartunnan käymällä haitallista ohjelmakoodia sisältävällä www-sivulla. Haavoittuvuutta voidaan hyväksikäyttää myös muiden selainohjelmistojen kautta. Haavoittuvuuden sisältävä tiedosto voidaan välittää myös sähköpostiviestin liitetiedostona.

Haavoittuvuus on luokiteltu kriittiseksi. Haavoittuvuutta hyväksikäytetään koko ajan muun muassa www-sivujen ja sähköpostin välityksellä.

Varoituksen kohderyhmä

Haavoittuvuus on hyväksikäytettävissä seuraavilla käyttöjärjestelmillä, vierailtaessa selaimella vihamielisesti laaditulla www-sivustolla tai avattaessa sähköpostin mukana saapunut haittaohjelman sisältävä liitetiedosto:

  • Microsoft Windows Server 2003, alkuperäinen versio ja Service Pack 1

  • Microsoft Windows XP Service Pack 1 ja 2

  • Microsoft Windows 2000 Service Pack 4

  • Microsoft Windows XP Professional x64 Edition

  • Microsoft Windows 2003 for Itanium-based Systems, alkuperäinen versio ja Service Pack 1

  • Microsoft Windows Server 2003 x64 Edition

Microsoft ei ole luokitellut haavoittuvuutta seuraavien käyttöjärjestelmien osalta kriittiseksi:

  • Microsoft Windows 98

  • Microsoft Windows 98 Second Edition (SE)

  • Microsoft Windows Millennium Edition (ME)

Microsoft on ilmoittanut julkaisevansa tietoturvapäivityksiä Windows 98-, 98 SE- ja ME-käyttöjärjestelmille vain kriittisiksi luokittelemilleen haavoittuvuuksille. Tuki myös tältä osin kyseisille käyttöjärjestelmille päättyy Microsoftin mukaan 30.6.2006.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on saatavilla osoitteesta:

http://update.microsoft.com

Microsoftin tietoturvatiedotteessa kerrottiin haavoittuvuuden hyväksikäytön
rajoitusmahdollisuudesta, jossa "Windows Picture and Fax Viewer" -komponentin
rekisteröinti käyttöjärjestelmästä poistetaan suorittamalla DOS-ikkunassa seuraava komento:

regsvr32 -u %windir%\system32\shimgvw.dll

Mikäli tietojärjestelmään on tehty edellä mainittu toimenpide, niin "Windows Picture and Fax Viewer"
-komponentin voi rekisteröidä takaisin Microsoftin korjauspäivityksen asentamisen jälkeen
suorittamalla DOS-ikkunassa komento:

regsvr32 %windir%\system32\shimgvw.dll

Mikäli tietojärjestelmään on asennettu CERT-FI:n tietoturva nyt -artikkelissa mainittu
Ilfak Guilfanovin julkistama epävirallinen korjaustiedosto, sen voi poistaa Ohjauspaneelin Lisää/Poista sovellus -kohdan kautta.

Lisätietoa

http://www.microsoft.com/technet/security/bulletin/advance.mspx

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

http://isc.sans.org/diary.php?storyid=972

http://www.f-secure.com/weblog/archives/archive-122005.html#00000752

http://secunia.com/advisories/18255/
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.us-cert.gov/cas/techalerts/TA05-362A.html
http://www.kb.cert.org/vuls/id/181038
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2005-4560
http://blogs.technet.com/tietoturvan_weblogi/archive/2005/12/30/416654.aspx
http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx

Erään haittaohjelmavariantin toiminta tietojärjestelmän saastuessa on esitetty seuraavassa videossa:

http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248