Scoperta Falla In Wmf: Girano In Rete Gli Exploit!
Allerta massima per gli utilizzatori di Windows: è stata infatti scoperta una pericolosissima vulnerabilità che può infettare Windows solamente aprendo un sito Internet, che contiene una immagine in formato WMF.
Anche se avete aggiornato Windows XP con tutti gli aggiornamenti disponibili ed avete installato il Service Pack 2 siete a rischio, perché Microsoft non ha ancora rilasciato una correzione. Anche aprendo l’immagine WMF in “Windows Picture and Fax Viewer” o mostrandone l’anteprima in una qualsiasi cartella si viene subito infettati. Sono interessati dal problema sia gli utilizzatori di Internet Explorer e di Firefox.
Tuttavia, mentre gli utenti che usano Internet Explorer sono subito infettati, aprendo il sito web con l’immagine WMF infettante, per infettare quelli che usano Firefox questi devono decidere di avviare o scaricare l’immagine: viene mostrata, insomma, una finestra di avviso.
All’inizio dell’articolo parlo di allerta massima perché stanno girando in rete dei siti che usano questa vulnerabilità per infettare gli utenti: si tratta di siti porno o di siti che forniscono crack e materiale illegale. Sono stati in particolare individuati nei seguenti siti web delle immagini infettanti:
SITI DA NON APRIRE: SE APERTI SI VIENE INFETTATI!
Crackz [dot] ws
unionseek [dot] com
www.tfcco [dot] com
Iframeurl [dot] biz
beehappyy [dot] biz
toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz
SOLUZIONE AL PROBLEMA
Microsoft non ha ancora rilasciato un aggiornamento (sta indagando!), tuttavia, per nostra sicurezza, possiamo disabilitare l’anteprima delle immagini. Andate su Start e poi su Esegui, digitate quindi il seguente comando:
regsvr32 -u %windir%\system32\shimgvw.dll
Quando la falla sarà corretta da Microsoft, potrete riabilitare l’anteprima delle immagini usando invece il seguente comando:
regsvr32 %windir%\system32\shimgvw.dll
Una nota dolente per gli utilizzatori di Google Desktop Search, che sono ancora più esposti. Una volta scaricata una immagine, Google Desktop Search la indicizza subito, passandone il contenuto a Windows, che lo esegue, infettando il PC. Disabilitate quindi immediatamente Google Desktop Search ed aggiornate il vostro antivirus!
1000 grazie.
sono andata su START e poi su ESEGUI e ho digitato il seguente: regsvr32 -u %windir%\system32\shimgvw.dll Disabilitazione riuscita.
Ciao, sei sempre dar buoni consigli.
Ciao,
ho rimosso il tuo sito dal commento dei lettori. La frase che hai citato è riferita alla lista dei siti Internet riportata dopo la dicitura:
SITI DA NON APRIRE: SE APERTI SI VIENE INFETTATI!
Non vede il danno all’immagine ? Qualsiasi utente leggendo questo post se ha buona memoria e dovesse capitare sul mio sito o essere tentato di andarci veicolato da un risultato di un motore di ricerca, tornerebbe subito indietro o non lo aprirebbe nemmeno…
Non è vero che nessuno ha scritto che il suo stio distribuisce minacce dice ?
In alto all’articolo leggo (riporto con copia incolla)
****************************************
All?inizio dell?articolo parlo di allerta massima perché stanno girando in rete dei siti che usano questa vulnerabilità per infettare gli utenti: si tratta di siti porno o di siti che forniscono crack e materiale illegale. Sono stati in particolare individuati nei seguenti siti web delle immagini infettanti:
****************************************
Se detto cio’ mi linkate il mio sito…beh…non so che valenza date all’italiano, ma significa senza possibilità di appello che ogni sito elencato fa quanto detto sopra, ossia usa questa vulnerabilità per infettare gli utenti
Comunque la ringrazio di avere preso in considerazione la mia educata protesta che in qualche modo discreditava il servizio reso dal mio portale
Non vedo questo danno di immagine. Un lettore dice che se si disattiva la visualizzazione delle immagini, non vengono mostrate le immagini dei siti Internet: per intenderci, non verrebbero visualizzate le immagini del tuo sito né quelle del mio. Nessuno ha mai scritto che il tuo sito distribuisce minacce.
Saluti
Sono il webmaster di PcPrimiPassi.it e cercando su google dei referrer al mio sito ho trovato questo post
Scusate ma…pur capendo che la segnalazione è a fin di bene bisognerebbe pensarci bene prima di screditare un servizio marchiandolo come SITO DA NON APRIRE non credete ???
La segnalazione di Nello sul sito PcPrimiPassi probabilmente non aveva niente a che vedere con questo exploit di cui parlavi ma ad una sua impostazioni del firewall o dell’antivirus, che anche ad altri utenti ha dato fastidio per un po di tempo sul nostro sito (specialmente l’accoppiata Zone Alarm / Norton security)….
….ma dopo attente indagini l’utente è stato invitato a fare alcuni test ed il problema è sparito…nessun virus, nessuno spyware, niente di niente……
PcPrimiPassi.it non ha MAI fatto uso del tipo di immagini di cui parlate e ci voleva anche poco a capirlo…
oltretutto il paragonarci ai siti porno che volontariamente FANNO USO (cito testualmente l’articolo di cui sopra, per cui ci state incolpando di farlo volontariamente)
Vogliate prendere provvedimenti riguardo a questa segnalazione che è letteralmente un DANNO ALL’IMMAGINE INGIUSTIFICATO !
Patch per la falla delle immagini WMF
Da qualche giorno non si fa altro che parlare della falla di Windows relativa alle immagini WMF. Il problema è molto grave e molti malintenzionati hanno creato delle immagini infettanti con cui diffondere virus e spyware.
L’allerta deve essere m…
gönder i?ite ne biliyim a.q
Microsoft sta ancora indagando, mentre gli utenti sono purtroppo rischio. Avevo proposto un metodo per risolvere il problema, che tuttavia disabilita l?anteprima delle immagini e il Visualizzatore immagini e fax di Windows.
* Motoricerca parla di Google PC * Il Digital Divide in Italia * Tiziano fa una lista delle migliori risorse dell’anno per webmaster Pro o contro la pubblicitànei blog? * Aggiornare wordpress alla versione 2.0 * Attenzione alla falla in WMF, patch funzionante ma non ufficiale
ma è un bug pericoloso anche sui pocket pc?
Ciao,
grazie per la segnalazione.
questo è il link della patch rilasciata da hex bloghttp://www.hexblog.com/security/files/wmffix_hexblog13.exe
disattivando l’anteprima delle immagini alcuni siti non vengono visualizzati correttamente
L’autore di Hex Blog ha rilasciato una patch, ovviamente non ufficiale
Questa patch, al contrario del workaround, non disabilita nessuna funzionalità del sistema ma opera su delle DLL di Windows vanificando l’exploit. La patch è stata testata con successo su Windows 2000, XP 32-bit, XP 64-bit e Windows Server 2003, l’autore consiglia di disinstallare quest’ultima quando sarà rilasciata quella ufficiale.