Windowsin tietoturva-aukko osoittautumassa erittin pahaksi

Uusi vuosi alkaa tietokoneiden maailmassa jlleen kerran uudella turvallisuusaukolla. Windowsista lytynyt WMF-kuviin liittyv tietoturva-aukko on osoittautunut niin pahaksi kuin pelttiinkin: aukkoa hydyntvi matoja ja troijalaisia on alkanut ilmesty pilvin pimein. Microsoft ei ole julkistanut vielkn korjausta aukkoon.

Tavallisen Windows-kyttjn kannalta ongelma on paha: Koneelleen voi saada haittaohjelmia pelkstn surffailemalla verkossa tai lukemalla shkposteja.

Ongelma piilee WMF-muotoisissa kuvatiedostoissa – vhn aikaa sitten huomattiin, ett kuvatiedosto voidaan rikkoa siten, ett pelkk kuvan katsominen mahdollistaa ylimristen ohjelmien ujuttamisen tietokoneelle kyttjn tietmtt. Viime pivien aikana ilkemieliset tahot ovat alkaneet kytt tt ominaisuutta hyvkseen haittaohjelmien levityksess.

Pilaantuneita kuvia voi tulla vastaan verkkosivuilla, shkposteissa tai chateissa. Selaimen vaihtaminen ei auta. Jos kuva tallennetaan kovalevylle katsomatta sit, kuvan sisltm haittaohjelma saattaa silti aktivoitua, vaikkapa silloin kun Google Desktopin kaltainen hakuohjelma avaa sen. Esimerkiksi kyntiin jtetty shkpostiohjelma saattaa ladata kuvia tietokoneelle kyttjn ksin koskematta! Kertakaikkiaan hankala tilanne siis.

Tm ongelma ei koske Macintosh- ja Linux-kyttji.

Onneksi verkosta lytyy nyt ensiapuna htkorjauksia tietoturva-aukon korjaamiseen. Niden asentamista suositellaan kaikille Windows 2000- ja XP-kyttjille (katso esimerkiksi Viestintviraston tiedotteet). Lue eteenpin ja net kirjoittamani suomenkieliset ohjeet korjausten asentamisesta.

Huom! Microsoftin virallinen korjaus tietoturva-aukkoon julkaistiin 6.1. eik niden paikkauksien asentaminen ole en tarpeellista. Ohjeet tss mainittujen htkorjausten poistamisesta lydt 6.1. pivityst jutusta.

F-securen blogista lytyneet ohjeet kertovat, miten tietoturva-aukon saa tukittua Microsoftin pivityst odotellessa. Toimi seuraavasti:

Klikkaa Kynnist-valikosta (Start-valikko englanninkielisess Windowissa) kohtaa Suorita (Run). Kirjoita avautuvaan ikkunaan seuraava teksti:
regsvr32 -u %windir%\system32\shimgvw.dll (ks. kuva) ja paina OK.

Saat samantien kuittauksen siit ett asiat menivt oikein:

Tm komento tekee sen, ett Windows Picture and Fax Viewer -ohjelma ei en kynnisty kun klikkaat WMF-muotoista kuvaa. Koska WMF-kuvia ja Picture and Fax Vieweri kytetn erittin harvoin, tmn voi tehd huoletta. Kytnnss kaikki shkpostien ja WWW-sivujen kuvat toimivat tmn jlkeenkin normaalisti, sill WWW-sivuilla ja shkposteissa kytetn jpeg- ja gif-kuvia (jotka ovat siis ihan turvallisia – ainakin nykytiedon mukaan).

Tuo ei kuitenkaan viel riit – tmn lisksi koneelle tulee asentaa epvirallinen Ilfak Guilfanovin tekem korjaus joka est saastuneita kuvatiedostoja levittmst viruksia tai muita haittaohjelmia.

Korjauksen asennus tapahtuu seuraavasti: Imuroi itsellesi ohjelma nimeltn wmffix_hexblog11.exe ja asenna se tietokoneellesi. Ohjelma lytyy jommastakummasta seuraavista osoitteista:
http://handlers.sans.org/tliston/wmffix_hexblog11.exe
http://www.hexblog.com/security/files/wmffix_hexblog13.exe (uudempi versio)

Nm tiedostot on tarkoitettu Windows 2000:lle ja XP:lle.

Imuroi tiedosto koneellesi ja kynnist se. Ruudullesi avautuu ohjelman asennusruutu, samanlainen kuin muissakin tietokoneeseen asennettavissa ohjelmissa. Ohjelma pyyt hyvksymn lisenssiehdot ja antamaan asennuskansion (voit hyvksy ohjelman antaman ehdotuksen sellaisenaan). Asennuksen lopuksi tietokone tytyy kynnist uudelleen.

Tmn korjauksen asentaminen ei muuta tietokoneen toimintaa mitenkn.

Korjaus kannattaa poistaa sen jlkeen kun Microsoftin virallinen korjauspivitys on julkaistu. Tm tapahtuu ohjauspaneelin Lis ja poista sovellus -toiminnolla (poistettavan ohjelman nimi on Windows WMF Metafile Vulnerability HotFix).

Ylempn ensimmisen annettu korjaus puretaan seuraavalla komennolla:
regsvr32 %windir%\system32\shimgvw.dll

Tuo sytetn samalla tavalla kuin aiempikin komento, kytten Kynnist-valikon Suorita-kohtaa. Tee tmkin sen jlkeen kun Microsoftin korjauspivitys on asennettu.

17 thoughts on “Windowsin tietoturva-aukko osoittautumassa erittin pahaksi

  1. Selaimen vaihtaminen ei auta? Osaavatko muut selaimet, kuin IE, nytt WMF-kuvia?

  2. En ole varma nyttk esim Firefox upotettuja WMF-kuvia, mutta esim jos kuvaan johtavaa linkki klikkaa, se avautuu ulkoiseen katseluohjelmaan.

  3. Jompikumpi noista toimenpiteist poisti ominaisuuden Windowsin Explorerissa (en tarkoita Internet Exploreria) katsella hakemistolistausta kuvista thumbnaileina. Ja kuvat eivt edes ole mitn WMF kuvia vaan tuikitavallisia JPG kuvia.

  4. Jasmo:
    F-securen blogista: “Firefox users can get infected if they decide to run or download the image file.” Eli voivat saastua jos pttvt “ajaa” tai tallentaa kuvan. Ja kuten on jo todettu saastuvalla sivulla ja s-postissa olevat kuvat voidaan vrent nyttmn .jpg/.gif ptteisiksi vaikka ne todellisuudessa olisivatkin WMF kuvia.

    Timo Taskinen:
    Haavoittuvuus ei koske ainoastaan Internet Exploreria vaan koskee mys Windows Exploreria. Ne kyttvt samaa “moottoria” ja siksi paikkaus poisti kuvien esikatselu mahdollisuuden mys tiedostonhallinnassa.

  5. Vaikka miten tarkkaan yritn kirjoittaa koodin, niin eip onnistu.
    Mik ihme mulla mtt?
    regsvr32 -u %windir%\system32\shimgvw.d11
    Yks tumpelo Helena

  6. Hyv Helena.

    Noin nopeasti vilkaistuna nyttisi, ett rimpsussasi on viimeisen kaksi ykkst, vaikka pitisi olla l-kirjaimia (l, niinkuin liposuktio). siis dee-l-l.

    Parhain terveisin: Pinserin mikrotuen pkaupungin haarakonttorin etyksikn lemmikkipuudelin vasen pakara.

  7. Kiitos mitvit
    just hoksasin sen itsekin kytyni Microsoftin sivulla Hesarin kautta.
    Ja heti onnistui. On se helppoa – kun sen osaa.

  8. Mutta, mutta. Nyt ei Resurssienhallinnan kuvatiedostossa aukea yksikn jpg-kuva. Toivottavasti koodit saa palautettua sitten kun suurin vaara on ohi hiriist.
    Helena
    Helenan nettipivkirja

  9. Kyll tm huoltopalvelu pelaa. Taas tarvitsee vaan kiitt,
    kun apu tuli tuotapikaa. Siis lmmin KIITOS Mika.
    Jos hoksasin oikein, niin se u juttu j siit pois.
    Sill se komponentti tulee takaisin.
    Hienoa – nuorempi vki saattaisi sanoa – cool.
    Helena

  10. Tuomo: Vapaaehtoinen ohjelmoija = IT-alan high end professional ammattilainen.

  11. Tuon korjauskoodin voi mys kopioida ja liitt, niin menne kerralla oikein.

  12. Kuvat pelittvt taas yht kauniina kuin ennenkin.
    Kiitos tn aamuna tulleen Microsoftin pivityksen ja Mikan neuvon mukaan tehdyn palautuksen.
    Helena

  13. kun klikkan johonki kuvan s ei nytt sen siin kuvien esikatselussa voiko joku autta

Leave a Reply

Your email address will not be published. Required fields are marked *