image

Windows 2000, ME en 98 niet kwetsbaar voor WMF lek

dinsdag 3 januari 2006, 09:55 door Redactie, 4 reacties

Gisteren kwamen verschillende security experts met het bericht dat alle Windows versies sinds 1990 kwetsbaar waren voor de WMF exploit, waaronder Windows 3.0. Er is echter een discussie tussen security onderzoekers gaande welke Windows versies nu precies kwetsbaar zijn. Volgens Idefense zijn Windows 2000, ME en 98 namelijk NIET kwetsbaar.

Verder is er een nieuwe patch verschenen die zich "stilletjes" installeert. De vorige patch gaf verschillende meldingen die doorsnee gebruikers zou kunnen verwarren.

Websense heeft een overzicht van screenshots van verschillende websites die de WMF exploits gebruiken. Ook wordt de WMF exploit in combinatie met IFRAME exploits gebruikt.

Reacties (4)
03-01-2006, 11:57 door hugo_nl
Als ik jullie was zou ik toch liever de aangepaste versie
vanaf ISC.sans.org downloaden -- die is gereverse-engineerd
en gereviewed (en in mijn ogen beter te vertrouwen dan
e.o.a. willekeurige ongecontroleerde patch vanaf e.o.a.
blog-site).

URL: http://handlers.sans.org/tliston/wmffix_hexblog14.exe
03-01-2006, 13:35 door Anoniem
Ik denk dat Ilfak Guilfanov's WMF vulnerability checker
(http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html)
voor verwarring zorgt.

In de weblogs lees ik dat de uitkomst van de test op een
aantal systemen "not vulnerable" is. Bij die uitkomst staat
expliciet aangegeven dat dit SLECHTS VOOR 1 ATTACK VECTOR
getest is. Dus
bij uitkomst "vulnerable" installeer de patch &
de-registreer de dll.
bij uitkomst "not vulnerable" installeer de patch &
de-rgistreer de ddl, of begin testen met alle andere attack
vectors.

Beetje RTFM, ben ik bang.
03-01-2006, 14:10 door sikkes
Door hugo_nl
Als ik jullie was zou ik toch liever de aangepaste versie
vanaf ISC.sans.org downloaden -- die is gereverse-engineerd
en gereviewed (en in mijn ogen beter te vertrouwen dan
e.o.a. willekeurige ongecontroleerde patch vanaf e.o.a.
blog-site).
gereviewed ok, maar gereverse-engineerd lijkt me een beetje
overdreven aangezien de patch maker zijn code vrijgeeft
geloof ik. ook is dat niet een of andere blog site, maar die
van de maker.
03-01-2006, 19:07 door Anoniem
Hoe verhelp ik de kwetsbaarheid?
Microsoft heeft nog geen beveiligingsupdate beschikbaar gesteld,
waarmee het probleem kan worden verholpen. Om uw computer te
beschermen, kunt u kiezen uit een aantal tijdelijke oplossingen. Deze
oplossingen hebben impact op het functioneren van bepaalde delen van
het besturingssysteem. U dient zelf een keuze te maken welke maatregel
voor u bruikbaar is, omdat dit afhankelijk is van het doel waarvoor u uw
computer gebruikt. Hieronder worden de tijdelijke oplossingen
beschreven, inclusief de impact die de maatregel heeft op het functioneren
van uw computer:

Schakel het programma 'Windows Picture and Fax Viewer' uit.
Hoe kunt u de maatregel uitvoeren:
U kunt op de volgende manier het programma uitschakelen:

Ga via de startknop naar 'Uitvoeren' (Engelstalige versie: 'Run').
Voer in het geopende schermpje in het veld 'Openen' (Engelstalige
versie: 'Open') het volgende commando in:
regsvr32 -u %windir%system32shimgvw.dll

En klik vervolgens op de knop 'OK'.

U kunt nu het scherm dat aan de hand van deze procedure is geopend,
weer afsluiten. Het bestand 'shimgvw.dll' bevat de kwetsbaarheid. Met het
bovenstaande commando wordt het gebruik van dit bestand uitgeschakeld.

Indien u weer gebruikt wilt maken van het programma 'Windows Picture
and Fax Viewer', dan kunt u de wijziging weer ongedaan maken. U dient
hiervoor het volgende commando te gebruiken:

regsvr32 %windir%system32shimgvw.dll

Wij raden u echter aan om het programma 'Windows Picture and Fax
Viewer' pas te gebruiken, nadat Microsoft een beveiligingsupdate heeft
uitgebracht waarin de kwetsbaarheid in het bestand 'shimgvw.dll' is
verholpen.

Impact:
'Shimgvw.dll' wordt door meerdere programma's gebruikt voor grafische
weergave. Het resultaat hiervan is dat het programma 'Microsoft Picture
and Fax Viewer' niet meer functioneert. Indien u dit programma veelvuldig
gebruikt (bijvoorbeeld voor het bekijken van foto's e.d.) kan deze tijdelijke
oplossing zorgen voor sterk verminderde functionaliteit.
Met het uitschakelen van 'shimgvw.dll' zullen meerdere programma's niet
meer werken. De gevolgen voor programma's die gebruik maken
van 'shimgvw.dll' zijn moeilijk te voorspellen en zullen per programma
verschillen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.