« BETA8WEBINSTALL.EXE | Startsidan | Gott slut på 2005 »

29 december 2005

Windows Metafile wmf

Intet nytt under solen tänkte jag nästan skriva. Ett nytt allvarligt säkerhetshål har upptäckts i bland annat Windows XP.

Microsoft rekommenderar att användaren gör en ändring i registereditorn. Hallå! Hur många blåbär kan hantera regedit?

Det är enligt IDG vid hantering av filer av grafikformatet wmf, Windows Metafile, som sårbarheten kan utnyttjas.

Klicka inte på bifogade dito filer som kommer via mail. Hur folk ska hindras att ramla in på en skadlig hemsida som utnyttjar denna sårbarhet är väl lite värre.

Bloggen jag skrev om tidigare har mer info om detta.

De skriver lite om Google Desktop som jag inte gillar, av många skäl. Här kommer ett till. Saxat ur bloggen ovan.

The test machine had Google Desktop installed. It seems that Google Desktop creates an index of the metadata of all images too, and it issues an API call to the vulnerable Windows component SHIMGVW.DLL to extract this info. This is enough to invoke the exploit and infect the machine. This all happens in realtime as Google Desktop contains a file system filter and will index new files in realtime. So, be careful out there. And disable indexing of media files (or get rid of Google Desktop) if you're handling infected files under Windows.

Saxat från en mailinglista.

1. Click on the Start button on the taskbar.
2. Click on Run...
3. Type regsvr32 -u %windir%\system32\shimgvw.dll to disable.
4. Click ok when the change dialog appears.

Slutresultatet ska bli denna prompt.

Prompt

Det funkar hos mig i alla fall. Inga wmf-filer visas numera, ett klick eller ett dubbelklick på en wmf-fil fungerar inte. Filen visas ej.

Ta bort, regsvr32 %windir%\system32\shimgvw.dll enablar igen.

Jag kör inte Internet Explorer men vete sjutton om Mozilla ger samma varning som tydligen Firefox gör. Jag avvaktar och hoppas att Microsoft har en blåslampa i häcken och fixar detta säkerhetshål och INTE väntar till andra tisdagen i januari eller något ditåt innan den kommer. Detta bör de ta på allvar.

// Annica Tiger

Annica Tiger december 29, 2005 07:36 EM

Kommentarer

Informationen är lite förvirrande. I en artikel står att bara Windows XP och Server 2003 är drabbade. I en annan nämns även 2000, 98 och ME.

Jag antar att det är en liknande registerändring som måste göras i 2000 för att täppa till hålet. Då får man väl pilla i registret. Jag tar alltid backup innan jag ändrar något där, vilket inte händer så ofta. Så det känns lite nervöst.

Google Desktop vill jag inte slänga ut, den har en smart bloggfunktion. Men jag använder mest Firefox numera.

GOD FORTSÄTTNING!

Skrivet av: Hannelore datum: januari 2, 2006 07:16 EM

Sant, men det var en dag då jag inte hade något planerat så jag tänkte nog att det var bättre det kom nu än när jag hade mycket att göra.

I så fall hade det kommit en och annan svordom och jag hade undvikit folk ett tag. :)

Skrivet av: Mats Andersson datum: januari 2, 2006 03:02 EM

Patch för WMF-problemet i Windows *.*

http://handlers.sans.org/tliston/wmffix_hexblog11.exe
http://isc.sans.org/diary.php?storyid=994

Detta ovan saxat från en mailinglista så hur effektivt det är vet jag inte.

Annica

Skrivet av: Annica Tiger datum: januari 2, 2006 01:59 EM

Jag skulle nog bli lite upprörd, för att installera om allt tar sin lilla tid och den tiden kan spenderas på roligare saker.

Annica

Skrivet av: Annica Tiger datum: januari 2, 2006 01:54 EM

Här sitter en drabbad.

Eller drabbad och drabbad. Inga filer av vikt försvann och jag blev inte ens upprörd. Det tog dock några timmar att få datorn i körbart skick igen efter formattering och programinstallation.

http://www.mats-andersson.se/blogg/show.asp?svarsID=1453

Skrivet av: Mats Andersson datum: januari 2, 2006 01:10 EM

Mac har jag bara använt när jag gick på Poppius. Det är inte helt enkelt att bara byta, programvarorna som inköpts till PC funkar inte på Mac och bara det är en stor tröskel, i alla fall för min del.

Jinge, det var nog ett klokt beslut.

Annica

Skrivet av: Annica Tiger datum: december 31, 2005 06:41 FM

Annica, kör inte du som är pro med Mac? Gott nytt år :)

Skrivet av: petter datum: december 30, 2005 06:13 EM

Jag slänger ut Google desktop. :-I

Skrivet av: Jinge datum: december 30, 2005 02:33 EM