Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Varoitukset > 2005 > CERT-FI varoitus 90/2005

CERT-FI varoitus 90/2005

28.12.2005

Haavoittuvuus Windows-käyttöjärjestelmän WMF-tiedostojen käsittelyssä

Windows Metafile (WMF) on Windows-käyttöjärjestelmien tukema grafiikkaformaatti. WMF-tiedostojen käsittelyrutiineihin liittyvän haavoittuvuuden hyväksikäyttämiseen liittyvää haittaohjelmakoodia on julkaistu tietoturva-aiheisella postituslistalla.

Internet Explorer -selainohjelman käyttäjät voivat saada haittaohjelmatartunnan käymällä haitallista ohjelmakoodia sisältävällä www-sivulla. Haavoittuvuutta voidaan hyväksikäyttää myös muiden selainohjelmistojen kautta. Haavoittuvuuden sisältävä tiedosto voidaan välittää myös sähköpostiviestin liitetiedostona.

Haavoittuvuus on luokiteltu kriittiseksi. Haavoittuvuutta hyväksikäytetään koko ajan muun muassa www-sivujen ja sähköpostin välityksellä.

VAROITUKSEN KOHDERYHMÄ:

Haavoittuvuus on hyväksikäytettävissä seuraavilla käyttöjärjestelmillä, vierailtaessa selaimella vihamielisesti laaditulla www-sivustolla tai avattaessa sähköpostin mukana saapunut haittaohjelman sisältävä liitetiedosto:

  • Microsoft Windows Server 2003, alkuperäinen versio ja Service Pack 1

  • Microsoft Windows XP Service Pack 1 ja 2

  • Microsoft Windows 2000 Service Pack 4

  • Microsoft Windows XP Professional x64 Edition

  • Microsoft Windows 2003 for Itanium-based Systems, alkuperäinen versio ja Service Pack 1

  • Microsoft Windows Server 2003 x64 Edition

Microsoft ei ole luokitellut haavoittuvuutta seuraavien käyttöjärjestelmien osalta kriittiseksi:

  • Microsoft Windows 98

  • Microsoft Windows 98 Second Edition (SE)

  • Microsoft Windows Millennium Edition (ME)

Microsoft on ilmoittanut julkaisevansa tietoturvapäivityksiä Windows 98-, 98 SE- ja ME-käyttöjärjestelmille vain kriittisiksi luokittelemilleen haavoittuvuuksille. Tuki myös tältä osin kyseisille käyttöjärjestelmille päättyy Microsoftin mukaan 30.6.2006.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on saatavilla osoitteesta:

http://update.microsoft.com

Microsoftin tietoturvatiedotteessa kerrottiin haavoittuvuuden hyväksikäytön
rajoitusmahdollisuudesta, jossa "Windows Picture and Fax Viewer" -komponentin
rekisteröinti käyttöjärjestelmästä poistetaan suorittamalla DOS-ikkunassa seuraava komento:

regsvr32 -u %windir%\system32\shimgvw.dll

Mikäli tietojärjestelmään on tehty edellä mainittu toimenpide, niin "Windows Picture and Fax Viewer"
-komponentin voi rekisteröidä takaisin Microsoftin korjauspäivityksen asentamisen jälkeen
suorittamalla DOS-ikkunassa komento:

regsvr32 %windir%\system32\shimgvw.dll

Mikäli tietojärjestelmään on asennettu CERT-FI:n tietoturva nyt -artikkelissa mainittu
Ilfak Guilfanovin julkistama epävirallinen korjaustiedosto, sen voi poistaa Ohjauspaneelin Lisää/Poista sovellus -kohdan kautta.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/advance.mspx

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

http://isc.sans.org/diary.php?storyid=972

http://www.f-secure.com/weblog/archives/archive-122005.html#00000752

http://secunia.com/advisories/18255/
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.us-cert.gov/cas/techalerts/TA05-362A.html
http://www.kb.cert.org/vuls/id/181038
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2005-4560
http://blogs.technet.com/tietoturvan_weblogi/archive/2005/12/30/416654.aspx
http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx

Erään haittaohjelmavariantin toiminta tietojärjestelmän saastuessa on esitetty seuraavassa videossa:

http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv

PÄIVITYSHISTORIA:

28.12.2005: Julkaistu.
29.12.2005: Lisätty tietolähteitä sekä päivitetty ratkaisu/rajoitusmahdollisuuksia
29.12.2005: Täydennetty haavoittuvuudelle alttiiden järjestelmien listaa ja muutettu rajoitusmahdollisuuksia
30.12.2005: Täydennetty ratkaisu/rajoitusmahdollisuuksia
05.01.2006: Muutettu ratkaisu/rajoitusmahdollisuuksia -osiota Microsoftin julkaistua korjauspäivityksen. Lisätty tietolähteisiin Microsoftin uudet linkit.
10.01.2006: Muutettu haavoittuvuudelle alttiit järjestelmät -osiota Windows 98-, 98 SE ja ME -käyttöjärjestelmien osalta.
 Kommentoi 
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio