Windowsin tietoturva-aukko osoittautumassa erittäin pahaksi

Kirjoittaja Sami, 1.1.2006

Uusi vuosi alkaa tietokoneiden maailmassa jälleen kerran uudella turvallisuusaukolla. Windowsista löytynyt WMF-kuviin liittyvä tietoturva-aukko on osoittautunut niin pahaksi kuin pelättiinkin: aukkoa hyödyntäviä matoja ja troijalaisia on alkanut ilmestyä pilvin pimein. Microsoft ei ole julkistanut vieläkään korjausta aukkoon.

Tavallisen Windows-käyttäjän kannalta ongelma on paha: Koneelleen voi saada haittaohjelmia pelkästään surffailemalla verkossa tai lukemalla sähköposteja.

Ongelma piilee WMF-muotoisissa kuvatiedostoissa – vähän aikaa sitten huomattiin, että kuvatiedosto voidaan rikkoa siten, että pelkkä kuvan katsominen mahdollistaa ylimääräisten ohjelmien ujuttamisen tietokoneelle käyttäjän tietämättä. Viime päivien aikana ilkeämieliset tahot ovat alkaneet käyttää tätä ominaisuutta hyväkseen haittaohjelmien levityksessä.

Pilaantuneita kuvia voi tulla vastaan verkkosivuilla, sähköposteissa tai chateissa. Selaimen vaihtaminen ei auta. Jos kuva tallennetaan kovalevylle katsomatta sitä, kuvan sisältämä haittaohjelma saattaa silti aktivoitua, vaikkapa silloin kun Google Desktopin kaltainen hakuohjelma avaa sen. Esimerkiksi käyntiin jätetty sähköpostiohjelma saattaa ladata kuvia tietokoneelle käyttäjän käsin koskematta! Kertakaikkiaan hankala tilanne siis.

Tämä ongelma ei koske Macintosh- ja Linux-käyttäjiä.

Onneksi verkosta löytyy nyt ensiapuna hätäkorjauksia tietoturva-aukon korjaamiseen. Näiden asentamista suositellaan kaikille Windows 2000- ja XP-käyttäjille (katso esimerkiksi Viestintäviraston tiedotteet). Lue eteenpäin ja näet kirjoittamani suomenkieliset ohjeet korjausten asentamisesta.

Huom! Microsoftin virallinen korjaus tietoturva-aukkoon julkaistiin 6.1. eikä näiden paikkauksien asentaminen ole enää tarpeellista. Ohjeet tässä mainittujen hätäkorjausten poistamisesta löydät 6.1. päivitystä jutusta.

F-securen blogista löytyneet ohjeet kertovat, miten tietoturva-aukon saa tukittua Microsoftin päivitystä odotellessa. Toimi seuraavasti:

Klikkaa Käynnistä-valikosta (Start-valikko englanninkielisessä Windowissa) kohtaa Suorita (Run). Kirjoita avautuvaan ikkunaan seuraava teksti:
regsvr32 -u %windir%\system32\shimgvw.dll (ks. kuva) ja paina OK.

Saat samantien kuittauksen siitä että asiat menivät oikein:

Tämä komento tekee sen, että Windows Picture and Fax Viewer -ohjelma ei enää käynnisty kun klikkaat WMF-muotoista kuvaa. Koska WMF-kuvia ja Picture and Fax Vieweriä käytetään erittäin harvoin, tämän voi tehdä huoletta. Käytännössä kaikki sähköpostien ja WWW-sivujen kuvat toimivat tämän jälkeenkin normaalisti, sillä WWW-sivuilla ja sähköposteissa käytetään jpeg- ja gif-kuvia (jotka ovat siis ihan turvallisia – ainakin nykytiedon mukaan).

Tuo ei kuitenkaan vielä riitä – tämän lisäksi koneelle tulee asentaa epävirallinen Ilfak Guilfanovin tekemä korjaus joka estää saastuneita kuvatiedostoja levittämästä viruksia tai muita haittaohjelmia.

Korjauksen asennus tapahtuu seuraavasti: Imuroi itsellesi ohjelma nimeltään wmffix_hexblog11.exe ja asenna se tietokoneellesi. Ohjelma löytyy jommastakummasta seuraavista osoitteista:
http://handlers.sans.org/tliston/wmffix_hexblog11.exe
http://www.hexblog.com/security/files/wmffix_hexblog13.exe (uudempi versio)

Nämä tiedostot on tarkoitettu Windows 2000:lle ja XP:lle.

Imuroi tiedosto koneellesi ja käynnistä se. Ruudullesi avautuu ohjelman asennusruutu, samanlainen kuin muissakin tietokoneeseen asennettavissa ohjelmissa. Ohjelma pyytää hyväksymään lisenssiehdot ja antamaan asennuskansion (voit hyväksyä ohjelman antaman ehdotuksen sellaisenaan). Asennuksen lopuksi tietokone täytyy käynnistää uudelleen.

Tämän korjauksen asentaminen ei muuta tietokoneen toimintaa mitenkään.

Korjaus kannattaa poistaa sen jälkeen kun Microsoftin virallinen korjauspäivitys on julkaistu. Tämä tapahtuu ohjauspaneelin Lisää ja poista sovellus -toiminnolla (poistettavan ohjelman nimi on Windows WMF Metafile Vulnerability HotFix).

Ylempänä ensimmäisenä annettu korjaus puretaan seuraavalla komennolla:
regsvr32 %windir%\system32\shimgvw.dll

Tuo syötetään samalla tavalla kuin aiempikin komento, käyttäen Käynnistä-valikon Suorita-kohtaa. Tee tämäkin sen jälkeen kun Microsoftin korjauspäivitys on asennettu.

    Jutussa “Windowsin tietoturva-aukko osoittautumassa erittäin pahaksi” on 17 kommenttia:

    • Jasmo says:

      Selaimen vaihtaminen ei auta? Osaavatko muut selaimet, kuin IE, näyttää WMF-kuvia?

    • Sami says:

      En ole varma näyttääkö esim Firefox upotettuja WMF-kuvia, mutta esim jos kuvaan johtavaa linkkiä klikkaa, se avautuu ulkoiseen katseluohjelmaan.

    • Jompikumpi noista toimenpiteistä poisti ominaisuuden Windowsin Explorerissa (en tarkoita Internet Exploreria) katsella hakemistolistausta kuvista thumbnaileina. Ja kuvat eivät edes ole mitään WMF kuvia vaan tuikitavallisia JPG kuvia.

    • nudisti says:

      Jasmo:
      F-securen blogista: “Firefox users can get infected if they decide to run or download the image file.” Eli voivat saastua jos päättävät “ajaa” tai tallentaa kuvan. Ja kuten on jo todettu saastuvalla sivulla ja s-postissa olevat kuvat voidaan väärentää näyttämään .jpg/.gif päätteisiksi vaikka ne todellisuudessa olisivatkin WMF kuvia.

      Timo Taskinen:
      Haavoittuvuus ei koske ainoastaan Internet Exploreria vaan koskee myös Windows Exploreria. Ne käyttävät samaa “moottoria” ja siksi paikkaus poisti kuvien esikatselu mahdollisuuden myös tiedostonhallinnassa.

    • Helena says:

      Vaikka miten tarkkaan yritän kirjoittaa koodin, niin eipä onnistu.
      Mikä ihme mulla mättää?
      regsvr32 -u %windir%\system32\shimgvw.d11
      Yks tumpelo Helena

    • mitvit says:

      Hyvä Helena.

      Noin nopeasti vilkaistuna näyttäisi, että rimpsussasi on viimeisenä kaksi ykköstä, vaikka pitäisi olla l-kirjaimia (äl, niinkuin liposuktio). siis dee-äl-äl.

      Parhain terveisin: Pinserin mikrotuen pääkaupungin haarakonttorin etäyksikön lemmikkipuudelin vasen pakara.

    • Jo on aikoihin eletty, kun vapaaehtoisten ohjelmoijien pitää alkaa paikkailla Microsoftin tuotteiden reikiä!

    • Helena says:

      Kiitos mitvit
      just hoksasin sen itsekin käytyäni Microsoftin sivulla Hesarin kautta.
      Ja heti onnistui. On se helppoa – kun sen osaa.

    • Helena says:

      Mutta, mutta. Nyt ei Resurssienhallinnan kuvatiedostossa aukea yksikään jpg-kuva. Toivottavasti koodit saa palautettua sitten kun suurin vaara on ohi häiriöistä.
      Helena
      Helenan nettipäiväkirja

    • Mika says:

      Helena: Kunhan suurin vaara on ohi, suorita “regsvr32 %windir%\system32\shimgvw.dll” ilman heittomerkkejä. Näin kerrotaan osoitteessa http://blogs.technet.com/tietoturvan_weblogi/archive/2005/12/30/416654.aspx

    • Helena says:

      Kyllä tämä huoltopalvelu pelaa. Taas tarvitsee vaan kiittää,
      kun apu tuli tuotapikaa. Siis lämmin KIITOS Mika.
      Jos hoksasin oikein, niin se u juttu jää siitä pois.
      Sillä se komponentti tulee takaisin.
      Hienoa – nuorempi väki saattaisi sanoa – cool.
      Helena

    • Juppe says:

      Tuomo: Vapaaehtoinen ohjelmoija = IT-alan high end professional ammattilainen.

    • Olli says:

      Tuon korjauskoodin voi myös kopioida ja liittää, niin menne kerralla oikein.

    • Matti Nykänen says:

      Mikä on titoturva-akko?

    • Helena says:

      Kuvat pelittävät taas yhtä kauniina kuin ennenkin.
      Kiitos tänä aamuna tulleen Microsoftin päivityksen ja Mikan neuvon mukaan tehdyn palautuksen.
      Helena

    • farzad says:

      kun klikkan johonki kuvan s ei näyttä sen siinä kuvien esikatselussa voiko joku autta

    • Toni L says:

      HUOM – Apua kaivataan!

      Yksikään kiintolevyllä olevista kuvista (joeg) ei aukea esikatseluun. Ilmoittaa vain, että esikatselu ei käytössä!

      T.Laivamaa@luukku.com

Kirjoita kommentti


Tämä linkki on ansa roskapostittajille.