"Y al sexto día, Dios creó al hombre. Y al séptimo, el hombre le devolvió el favor"
[anónimo]

Boletín Urgente - Vulnerabilidad en tratamiento de archivos WMF - 01/01/06 (Actualizado el 05/01/06)


FELIZ AÑO !!!


Que mejor manera de comenzar el año que con una urgencia. Como no podía ser de otra forma la ventana y la puerta son los protagonistas.


Como adelanté en el boletín anterior, el problema de tratamiento de ficheros .WMF está trayendo muchos problemas y Microsoft hasta el momento lo único que ha hecho es reconocer que la vulnerabilidad existe y ha sugerido dos "soluciones" absolutamente parciales.

http://www.microsoft.com/technet/security/advisory/912840.mspx


Para conocer a que nos atenemos recomiendo la lectura de una excelente FAQ de J.L. Lopez de VSAntivirus:

http://seguinfo.blogspot.com/2005/12/todo-lo-que-hay-que-saber-sobre-el.html


Mientras tanto hay gente que trabaja y hoy el ISC (Internet Storm Center) del SANS informa de la disponibilidad de un parche NO OFICIAL, programado por Ilfak Guilfanov:

http://isc.sans.org/diary.php?rss&storyid=996


Si bien la recomendación generalizada de expertos es no instalar parches no oficiales esta situación es crítica y exige asumir algunos riesgos para minimizar otros.

Según dice Tom Liston de ISC: "Aceptable o no, las personas, usted, tiene que confiar en alguien en esta situación... por favor confíe en nosotros"

Traducción completa de las palabras de Liston:

http://www.vsantivirus.com/01-01-06.htm


Si se decide aplicarlo, debe hacerse LUEGO de desregistrar la DLL que está originando los problemas (shimgvw.dll) de la siguiente manera:


Inicio --> Ejecutar
Escribir: regsvr32 -u %directorio_de_instalación_windows%\system32\shimgvw.dll

Por ejemplo, si el directorio de instalación es c:\windows, la sintaxis es:

regsvr32 -u c:\windows\system32\shimgvw.dll


Una vez desregistrada la DLL, simplemente basta con instalar el parche disponible en:

http://handlers.sans.org/tliston/wmffix_hexblog13.exe


Cuando aparezca el parche oficial, habrá que volver a registrar la DLL y desinstalar el parche.


También remarco que actualmente ya existen métodos para explotar esta vulnerabilidad utilizando otras extensiones asociadas al visor de imágenes y fax de Windows, como por ejemplo BMP, DIB, EMF, GIF, ICO, JPG, PNG, TIF, etc.


Además se han reportado casos de envíos masivos de troyanos vía mail:

http://seguinfo.blogspot.com/2005/12/agujero-de-seguridad-de-windows-puede.html

http://www.f-secure.com/weblog/archives/archive-012006.html#00000759


Mientras, y para saber lo que se siente al ser infectado podemos ver este video:

http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv


Por estos días mi sugerencia es solo ingresar a sitios de _absoluta_ confianza y trayectoria.


Más información:

http://seguinfo.blogspot.com/2006/01/parche-no-oficial-para-la.html


Actualización 02-01-2006

Herramienta para verificar si Windows es vulnerable

http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html


Actualización 04-01-2006

Herramienta de ESET para solucionar la vulnerabilidad

http://www.nod32-la.com/about/press.php?id=150

http://www.nod32-la.com/support/wmfpatch.htm


Actualización 05-01-2006

Microsoft publica el parche para vulnerabilidad WMF

Más Información


Actualidad

Virus-Antivirus