□ インターネットストームセンターのインフォコンがイエローに変更!
…Windows WMF 0-day の脆弱性の重大性によりインフォコンの変更が行われた。警戒態勢を!
□ Websense Labs が WMF 0-day の実証ムービーを公開
…感染したくないけどどうなるのか知りたい人はこのムービー見よう。 (((( ;゚д゚)))アワワワワ
→ http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv
□ Metasploit Framework が WMF 0-day を早くも実装
Exploit Module: ie_xp_pfv_metafile
Description: This module exploits a vulnerability in the Windows Picture and Fax Viewer found in Windows XP and 2003. This vulnerability uses a corrupt Windows Metafile to execute arbitrary code and was reported by noemailpls[at]noemail.ziper to the Bugtraq mailing list after being discovered in the wild at the following URL: http://unionseek[DOT]com/d/t1/wmf_exp.htm
□ Microsoft がアドバイザリを公開、ワークアラウンドも
→ Microsoft Security Advisory (912840): Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution.
…アドバイザリの中で、今後のアップデートにて対策を行うことを約束している。
不審なサイトを訪問、不審なメールの開封に注意すること。また、メールをプレーンテキストで読むこと。
ワークアラウンド(暫定回避策):
問題のコードを含む shimgvw.dll を Windows システムから切り離す。
(やり方)スタート → ファイル名を指定して実行 → “regsvr32 -u %windir%\system32\shimgvw.dll”
(影響) 「Windows 画像と FAX ビューア」が利用できなくなる。エクスプローラーで「縮小版」表示ができなくなる。
(戻し方)スタート → ファイル名を指定して実行 → “regsvr32 %windir%\system32\shimgvw.dll”
□ 各CERT からもアラート
→ US-CERT Technical Cyber Security Alert TA05-362A — Microsoft Windows Metafile Handling Buffer Overflow
→ FrSIRT Advisories – Microsoft Windows WMF Handling Remote Code Execution Vulnerability / Exploit
→ AusCERT – AL-2005.0043 — [Win] — Unpatched flaw in WMF image file handling exploited in wild
→ JPCERT/CC Alert 2005-12-29 Microsoft Windows Metafile handler Vulnerabilities
…(JPCERT/CCより)Microsoft Windows における画像や図を表示するためのメタファイル”.wmf”の処理に存在する脆弱性を狙った攻撃手法が公開されました。
と拡張子”.wmf”のみを強調しているが、「Windows 画像と FAX ビューア」に関連付けられている拡張子はすべて危険である。
たとえば、”.wmf”→”.png”と拡張子を変更しても今回の攻撃は実行可能である。 Σ(゚д゚lll)アブナッ !