Windows Picture and Fax Viewer

[Great]

Переполнение буфера при обработке метафайлов .wmf

Уязвимые версии: Windows XP, 2003
Опасность: Критическая
Описание:
Обнаружено переполнение буфера при обработке метафайлов в "Windows Picture and Fax Viewer", в результате которого возможно выполнение произвольного кода. Для этого необходимо сделать специально сформированный WMF-файл и заставить пользователя его открыть.

Эксплоит
Решение: Способов устранения уязвимости не существует в настоящее время. Всем настоятельно рекомендуется не открывать недоверенные ".wmf" фалы и установить высокий уровень безопасности в Internet Explorer.

Производитель:
:zns2: Microsoft

Источник: Securitylab

 

[Great]

Переполнение буфера при обработке метафайлов .wmf (обновлено)
Уязвимые версии: Windows 2000, XP, 2003
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл.

Примечание: Уязвимость может быть эксплуатирована посредством Windows Explorer, даже если расширение злонамеренного файла было изменено на ".jpg", ".gif, ".tif", ".png" и другие форматы.
Эксплоит: тот же
Решение: Микрософтв предлагает дерегистрировать shimgvw.dll, хотя это может привести к отключению некоторого функционала.

regsvr32 -u %windir%\system32\shimgvw.dll

Источник: SecurityLab

 

[Ŧ1LAN]

походу в ближайшее время намечается небольшая эпидемия, Новый Год, Рождество - отличное время для того чтобы рассылать знакомым и не знакомым людям файлы типа NewYear_prikol.jpg, содержащий вредоносный код. Ведь наверняка каждый посмотрит картинку.

 

[Amper]

Может кто-нибудь выложит бинарник cплойта?

 

[Great]

Amper
если я не ошибаюсь, он на перле написан...

 

[Pion]

а не желает ли кто нибудь показать как это работает на самом деле ? .. ато чтото неврубаюсь .. :bang:

 

[Ŧ1LAN]

Да без проблем
скачать
размер 1.03Mb

 

[Ŧ1LAN]

Лаборатория Касперского пишет, что повысила ее уровень угрозы и уже выпустила патчи, добавляющие проверку wmf-файлов. Обнаруженные ими троянские программы, использующие данную уязвимость, являются Trojan-Downloader'ами и загружают на атакованный компьютер других троянцев. В настоящий момент загрузка происходит с сайтов: unionseek.com и iframeurl.biz.
В ближайшее время не исключено появление новых модификаций аналогичных троянских программ.

От меня: остаётся только качать патчи либо переходить на линукс

 

[east]

От меня: остаётся только качать патчи либо переходить на линукс

Угу. Мы все умрём

 

[Ŧ1LAN]

Microsoft утверждает, что патч уже готов, но требуется время на проверку и отладку исправления. Корпорация подтвердила, что на прошлой неделе неизвестные хакеры попытались взять под контроль компьютеры, используя открытую недавно уязвимость Windows. Ошибка в программном коде операционной системы позволяет злоумышленникам под видом файла изображения внедрять на компьютеры ничего не подозревающих пользователей шпионские программы.

Представитель Microsoft заявил, что такого рода атаки пока не получили широкого распространения. Однако специалисты Cert говорят, что опасные коды, использующие новую уязвимость Windows, были уже многократно использованы для атак на Windows XP SP2, и это вовсе не значит, что другие версии Windows находятся вне досягаемости.

Известны многочисленные сайты, использующие этот дефект для проникновения в ПК пользователей и установки там шпионского ПО. С помощью этих программ можно завладеть конфиденциальными данными пользователей, например, можно узнать номера и коды кредитных карточек, или воспользоваться чужим ПК для рассылки спама.

Эксперты говорят, что масштабы проблемы могут оказаться гораздо большими, чем это видится сейчас. Так, под угрозой могут находиться компьютеры с Windows XP, ME, 2000 и Windows Microsoft Windows Server 2003.



Добавлено в [time]1136443151[/time]
Корпорация Microsoft пообещала, что патч будет доступен 10-го января.

А вот интервью с Ильфаком Гуильфановым о WMF патче
правда на английском языке можно читать тут

 

[Winux]

Патч от касперского
Латаемся.

 

[Privereda]

Да без проблем
скачать
размер 1.03Mb

Поясните пожлста что сплойт делает, конкретно этот файл?

 

[Winux]

Privereda
Это не сплойт а видео по взлому :holloween:

 

[Privereda]

да теперь вижу, а бинарик есть у кого нибудь, дайте посмотреть?

 

[Ŧ1LAN]

2 Privereda
он на перле вроде написан...
Добавлено в [time]1136613905[/time]
Уязвимость заставила Microsoft выпустить патчи не как обычно во второй вторник месяца, а за 5 дней до намеченного срока.
Патч доступен как через сервис Windows update, так и для прямого скачивания:

Microsoft Windows XP (requires Service Pack 1 or 2):
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows Server 2003 (with or without Service Pack 1):
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows Server 2003 (Itanium) (with or without SP1):
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows 2000 (requires Service Pack 4):
http://www.microsoft.com/downloads/details...&displaylang=en

 

[Trol]

А под ХП СП2 работает?