Y todavía no hay parche oficial.
La vulnerabilidad en cuestión afecta un componente de Windows llamado "Visor de imágenes y fax de Windows" (asociado a la dll shimgvw.dll) en lo atinente al tratamiento de metaarchivos WMF (en inglés metafiles WMF) .
Lo grave de todo esto es que los WMF ( Windows MetaFiles) son un tipo formato de archivos gráficos usados en el sistema operativo de Bill y ampliamente empleados en imágenes jpeg o gif.
Un metarchivo de windows posee comandos que son empleados por la GDI (el motor gráfico de Windows) para dibujar el archivo y puede incluir código ejecutable.
Cualquier programa que utilice el visor de imágenes y fax puede ser afectado cuando se le da a abrir un archivo WMF malicioso, ya sea viendo una página web, un mensaje de correo electrónico o mediante el explorador de Windows.
En la nota llamada "Todo lo que hay que saber sobre el exploit WMF", dan varios datos muy esclarecedores.
- No se evita el problema usando visualizadores de imágenes como Paint, Irfanview o ACDSee.
- Los archivos de los que hay que tener cuidado no tienen que necesariamente llevar la extensión WMF, ya que el visor de imágenes y fax de windows puede usar también extensiones BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF, etc que pueden ser afectadas por esta vulnerabilidad.
- La ultima versión de Firefox 1,5 abre las imágenes WMF con el reproductor Windows Media que no está afectado. Las versiones más viejas del navegador libre, sí usan el visor de imágenes y fax y son vulnerables, así como las de Opera.
- No sólo Windows y el Internet Explorer son vulnerables, también Google Desktop y Lotus Notes.
En noviembre microsoft había emparchado otra vulnerabilidad en los archivos WMF, pero esta que les comento es diferente y es más reciente, del 27 de diciembre.
En Microsoft están enterados de este grave problema, y dicen que están testeando un parche que saldría el 10 de enero como parte de sus actualizaciones mensuales, y reconocen que afecta a
Esta vulnerabilidad está siendo usada para distribuir troyanos comoMicrosoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)
Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp,
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev.
TROJ_NASCENE.A
TROJ_NASCENE.B
TROJ_NASCENE.C
TROJ_NASCENE.D
según cuentan en alertaantivirus.es.
Soluciones
Actualización (2006-02-03), para la solución definitiva saltear lo que sigue y ver el tercer mensaje de este tema.
No hay solución efectiva contra esto, sólo hay dos provisorias,
I- Quitar del registro la biblioteca shimgvw.dll asociada al visor de imágenes usando el comando de regsvr32.exe
donde %windir% es el directorio donde está el sistema operativo, usualmente C:\Windows, o sea que la línea a ejecutar sería1. Cierre el Internet Explorer y cualquier otra ventana abierta.
2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):
regsvr32 -u %windir%\system32\shimgvw.dll
regsvr32 -u C:\windows\system32\shimgvw.dll
al menos eso me anduvo a mí.
Estas dos últimas citas son de vsantivirus.com.Si el comando es ejecutado con éxito, se abrirá una ventana con el texto "DllUnregisterServer en C:\WINDOWS\system32\shimgvw.dll se realizó con éxito.". Ciérrela pulsando en Aceptar.
NOTA: Esto afecta la apertura de archivos asociados al visor de imágenes y fax de Windows. Si por alguna razón desea volver a activar esta facilidad, utilice los mismos pasos indicados antes, pero con la siguiente línea de comandos en el punto 2:
regsvr32 %windir%\system32\shimgvw.dll
Más sobre este comando en microsoft.com.
II- Emplear un parche no oficial hecho por Ilfak Guilfanov
tomado de la nota Parche NO oficial para la vulnerabilidad WMFEste parche NO remueve ninguna funcionalidad conocida del sistema, por ejemplo, todas las imágenes continúan siendo visibles.
Técnicamente, el parche inyecta su propia DLL (WMFHOTFIX.DLL) a todos los procesos que carga USER32.DLL (el API que maneja la interacción de las aplicaciones con el usuario). Para ello crea la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = C:\WINDOWS\system32\wmfhotfix.dll
...
Si por alguna razón se deseara quitar este parche (o cuando Microsoft publique su actualización oficial), solo basta con desinstalarlo desde "Agregar o quitar programas" del Panel de control, donde aparece listado como "Windows WMF Metafile Vulnerability HotFix".
El parche puede ser descargado del siguiente enlace:
http://handlers.sans.org/tliston/wmffix_hexblog14.exe
de vsantivirus.com donde aconsejan usar las dos soluciones ( quitar del registro la shimgvw.dll, y aplicar el parche no oficial), hasta que salga una solución de Microsoft.
El sitio del programador ruso por acá:
http://www.hexblog.com/
Actualizó su parche y deja bajar un programita que chequea si uno está expuesto.
Esto es tan nuevo que al 31 de enero algunos antivirus como AVG no detectaban
