Pinseri

Uusi vuosi alkaa tietokoneiden maailmassa j�lleen kerran uudella turvallisuusaukolla. Windowsista l�ytynyt WMF-kuviin liittyv� tietoturva-aukko on osoittautunut niin pahaksi kuin pel�ttiinkin: aukkoa hy�dynt�vi� matoja ja troijalaisia on alkanut ilmesty� pilvin pimein. Microsoft ei ole julkistanut viel�k��n korjausta aukkoon.

Tavallisen Windows-k�ytt�j�n kannalta ongelma on paha: Koneelleen voi saada haittaohjelmia pelk�st��n surffailemalla verkossa tai lukemalla s�hk�posteja.

Ongelma piilee WMF-muotoisissa kuvatiedostoissa – v�h�n aikaa sitten huomattiin, ett� kuvatiedosto voidaan rikkoa siten, ett� pelkk� kuvan katsominen mahdollistaa ylim��r�isten ohjelmien ujuttamisen tietokoneelle k�ytt�j�n tiet�m�tt�. Viime p�ivien aikana ilke�mieliset tahot ovat alkaneet k�ytt�� t�t� ominaisuutta hyv�kseen haittaohjelmien levityksess�.

Pilaantuneita kuvia voi tulla vastaan verkkosivuilla, s�hk�posteissa tai chateissa. Selaimen vaihtaminen ei auta. Jos kuva tallennetaan kovalevylle katsomatta sit�, kuvan sis�lt�m� haittaohjelma saattaa silti aktivoitua, vaikkapa silloin kun Google Desktopin kaltainen hakuohjelma avaa sen. Esimerkiksi k�yntiin j�tetty s�hk�postiohjelma saattaa ladata kuvia tietokoneelle k�ytt�j�n k�sin koskematta! Kertakaikkiaan hankala tilanne siis.

T�m� ongelma ei koske Macintosh- ja Linux-k�ytt�ji�.

Onneksi verkosta l�ytyy nyt ensiapuna h�t�korjauksia tietoturva-aukon korjaamiseen. N�iden asentamista suositellaan kaikille Windows 2000- ja XP-k�ytt�jille (katso esimerkiksi Viestint�viraston tiedotteet). Lue eteenp�in ja n�et kirjoittamani suomenkieliset ohjeet korjausten asentamisesta.

Huom! Microsoftin virallinen korjaus tietoturva-aukkoon julkaistiin 6.1. eik� n�iden paikkauksien asentaminen ole en�� tarpeellista. Ohjeet t�ss� mainittujen h�t�korjausten poistamisesta l�yd�t 6.1. p�ivityst� jutusta.

F-securen blogista l�ytyneet ohjeet kertovat, miten tietoturva-aukon saa tukittua Microsoftin p�ivityst� odotellessa. Toimi seuraavasti:

Klikkaa K�ynnist�-valikosta (Start-valikko englanninkielisess� Windowissa) kohtaa Suorita (Run). Kirjoita avautuvaan ikkunaan seuraava teksti:
regsvr32 -u %windir%\system32\shimgvw.dll (ks. kuva) ja paina OK.

Saat samantien kuittauksen siit� ett� asiat meniv�t oikein:

T�m� komento tekee sen, ett� Windows Picture and Fax Viewer -ohjelma ei en�� k�ynnisty kun klikkaat WMF-muotoista kuvaa. Koska WMF-kuvia ja Picture and Fax Vieweri� k�ytet��n eritt�in harvoin, t�m�n voi tehd� huoletta. K�yt�nn�ss� kaikki s�hk�postien ja WWW-sivujen kuvat toimivat t�m�n j�lkeenkin normaalisti, sill� WWW-sivuilla ja s�hk�posteissa k�ytet��n jpeg- ja gif-kuvia (jotka ovat siis ihan turvallisia – ainakin nykytiedon mukaan).

Tuo ei kuitenkaan viel� riit� – t�m�n lis�ksi koneelle tulee asentaa ep�virallinen Ilfak Guilfanovin tekem� korjaus joka est�� saastuneita kuvatiedostoja levitt�m�st� viruksia tai muita haittaohjelmia.

Korjauksen asennus tapahtuu seuraavasti: Imuroi itsellesi ohjelma nimelt��n wmffix_hexblog11.exe ja asenna se tietokoneellesi. Ohjelma l�ytyy jommastakummasta seuraavista osoitteista:
http://handlers.sans.org/tliston/wmffix_hexblog11.exe
http://www.hexblog.com/security/files/wmffix_hexblog13.exe (uudempi versio)

N�m� tiedostot on tarkoitettu Windows 2000:lle ja XP:lle.

Imuroi tiedosto koneellesi ja k�ynnist� se. Ruudullesi avautuu ohjelman asennusruutu, samanlainen kuin muissakin tietokoneeseen asennettavissa ohjelmissa. Ohjelma pyyt�� hyv�ksym��n lisenssiehdot ja antamaan asennuskansion (voit hyv�ksy� ohjelman antaman ehdotuksen sellaisenaan). Asennuksen lopuksi tietokone t�ytyy k�ynnist�� uudelleen.

T�m�n korjauksen asentaminen ei muuta tietokoneen toimintaa mitenk��n.

Korjaus kannattaa poistaa sen j�lkeen kun Microsoftin virallinen korjausp�ivitys on julkaistu. T�m� tapahtuu ohjauspaneelin Lis�� ja poista sovellus -toiminnolla (poistettavan ohjelman nimi on Windows WMF Metafile Vulnerability HotFix).

Ylemp�n� ensimm�isen� annettu korjaus puretaan seuraavalla komennolla:
regsvr32 %windir%\system32\shimgvw.dll

Tuo sy�tet��n samalla tavalla kuin aiempikin komento, k�ytt�en K�ynnist�-valikon Suorita-kohtaa. Tee t�m�kin sen j�lkeen kun Microsoftin korjausp�ivitys on asennettu.

17 thoughts on “Windowsin tietoturva-aukko osoittautumassa eritt�in pahaksi”

Jasmo on 1.01.2006 at 21:01 said:

Selaimen vaihtaminen ei auta? Osaavatko muut selaimet, kuin IE, n�ytt�� WMF-kuvia?
Sami on 1.01.2006 at 22:01 said:

En ole varma n�ytt��k� esim Firefox upotettuja WMF-kuvia, mutta esim jos kuvaan johtavaa linkki� klikkaa, se avautuu ulkoiseen katseluohjelmaan.
Timo Taskinen on 2.01.2006 at 03:01 said:

Jompikumpi noista toimenpiteist� poisti ominaisuuden Windowsin Explorerissa (en tarkoita Internet Exploreria) katsella hakemistolistausta kuvista thumbnaileina. Ja kuvat eiv�t edes ole mit��n WMF kuvia vaan tuikitavallisia JPG kuvia.
nudisti on 2.01.2006 at 05:01 said:

Jasmo:
F-securen blogista: “Firefox users can get infected if they decide to run or download the image file.” Eli voivat saastua jos p��tt�v�t “ajaa” tai tallentaa kuvan. Ja kuten on jo todettu saastuvalla sivulla ja s-postissa olevat kuvat voidaan v��rent�� n�ytt�m��n .jpg/.gif p��tteisiksi vaikka ne todellisuudessa olisivatkin WMF kuvia.

Timo Taskinen:
Haavoittuvuus ei koske ainoastaan Internet Exploreria vaan koskee my�s Windows Exploreria. Ne k�ytt�v�t samaa “moottoria” ja siksi paikkaus poisti kuvien esikatselu mahdollisuuden my�s tiedostonhallinnassa.
Helena on 2.01.2006 at 08:01 said:

Vaikka miten tarkkaan yrit�n kirjoittaa koodin, niin eip� onnistu.
Mik� ihme mulla m�tt��?
regsvr32 -u %windir%\system32\shimgvw.d11
Yks tumpelo Helena
mitvit on 2.01.2006 at 09:01 said:

Hyv� Helena.

Noin nopeasti vilkaistuna n�ytt�isi, ett� rimpsussasi on viimeisen� kaksi ykk�st�, vaikka pit�isi olla l-kirjaimia (�l, niinkuin liposuktio). siis dee-�l-�l.

Parhain terveisin: Pinserin mikrotuen p��kaupungin haarakonttorin et�yksik�n lemmikkipuudelin vasen pakara.
Tuomo Bj�rksten on 2.01.2006 at 10:01 said:

Jo on aikoihin eletty, kun vapaaehtoisten ohjelmoijien pit�� alkaa paikkailla Microsoftin tuotteiden reiki�!
Helena on 2.01.2006 at 11:01 said:

Kiitos mitvit
just hoksasin sen itsekin k�yty�ni Microsoftin sivulla Hesarin kautta.
Ja heti onnistui. On se helppoa – kun sen osaa.
Helena on 2.01.2006 at 15:01 said:

Mutta, mutta. Nyt ei Resurssienhallinnan kuvatiedostossa aukea yksik��n jpg-kuva. Toivottavasti koodit saa palautettua sitten kun suurin vaara on ohi h�iri�ist�.
Helena
Helenan nettip�iv�kirja
Mika on 2.01.2006 at 17:01 said:

Helena: Kunhan suurin vaara on ohi, suorita “regsvr32 %windir%\system32\shimgvw.dll” ilman heittomerkkej�. N�in kerrotaan osoitteessa http://blogs.technet.com/tietoturvan_weblogi/archive/2005/12/30/416654.aspx
Helena on 2.01.2006 at 18:01 said:

Kyll� t�m� huoltopalvelu pelaa. Taas tarvitsee vaan kiitt��,
kun apu tuli tuotapikaa. Siis l�mmin KIITOS Mika.
Jos hoksasin oikein, niin se u juttu j�� siit� pois.
Sill� se komponentti tulee takaisin.
Hienoa – nuorempi v�ki saattaisi sanoa – cool.
Helena
Juppe on 2.01.2006 at 23:01 said:

Tuomo: Vapaaehtoinen ohjelmoija = IT-alan high end professional ammattilainen.
Olli on 3.01.2006 at 20:01 said:

Tuon korjauskoodin voi my�s kopioida ja liitt��, niin menne kerralla oikein.
Matti Nyk�nen on 3.01.2006 at 23:01 said:

Mik� on titoturva-akko?
Helena on 6.01.2006 at 06:01 said:

Kuvat pelitt�v�t taas yht� kauniina kuin ennenkin.
Kiitos t�n� aamuna tulleen Microsoftin p�ivityksen ja Mikan neuvon mukaan tehdyn palautuksen.
Helena
farzad on 12.02.2006 at 12:02 said:

kun klikkan johonki kuvan s ei n�ytt� sen siin� kuvien esikatselussa voiko joku autta
Toni L on 7.03.2006 at 14:03 said:

HUOM – Apua kaivataan!

Yksik��n kiintolevyll� olevista kuvista (joeg) ei aukea esikatseluun. Ilmoittaa vain, ett� esikatselu ei k�yt�ss�!

T.Laivamaa@luukku.com

Pinseri

Tärkeitä asioita

Windowsin tietoturva-aukko osoittautumassa eritt�in pahaksi

17 thoughts on “Windowsin tietoturva-aukko osoittautumassa eritt�in pahaksi”

Leave a Reply