Sampopankin verkkopankki altis verkkohyökkäyksille
26.03.2008 13:43
Sampopankki asentaa vakoiluohjelmia
26.03.2008 12:50
Lapsiporno.info verkkohyökkäyksen kohteena
16.02.2008 17:55
Kylmä temppu Microsoftilta
12.07.2006 13:47
Windows 98 ja ME -käyttäjät vapautuvat kuukausittaisesta päivityskierteestä
07.07.2006 12:31
Palvelin- ja konesalivuokrauksen turvallisuus mietityttää
03.06.2006 23:02
DNA liittyy roskaoperaattoreiden joukkoon
31.05.2006 23:40
Spycar paljastaa tietoturvapalveluiden heikkouden vakoiluohjelmien torjunnassa
08.05.2006 22:46
Responsewave vastaa, ettei roskaposti ole roskapostia
21.04.2006 08:50
Finnet kasvatti postilaatikoiden kokoa
19.04.2006 19:50
Käyttävätkö kunnat sähköpostia vastuuttomasti?
19.04.2006 17:59
Sisäministeriö raportoi salaisten pakkokeinojen käytöstä
12.04.2006 16:35
01.01.2006 13:42 (Päivitetty: 04.01. 11:16)
Johtuen Windowsin tavasta käsitellä kuvatiedostoja ei pelkkä WMF-päätteisten tiedostojen suodatus riitä suodattamaan haavoittuvuutta WMF-hyväksikäyttäviä tiedostoja . Sähköpostitse leviää "HappyNewYear.jpg" (MD5: DBB27F839C8491E57EBCC9445BABB755) nimellä kulkeva WMF-haavoittuvutta hyväksikäyttävä tiedosto.
Ymmärtääkseni kyse on Windowsin tavasta käsitellä tiedostoja yleisesti ja tässä tapauksessa kuvatiedostoja erityisesti. Vaikka tiedoston päätteen perusteella päätellään ohjelma, jolla tiedosto avataan, niin ohjelma, tai tässä tapauksessa Windowsin sisäinen komponentti, tunnistaa formaatin tiedoston sisällöstä eikä tiedoston päätteestä. Näin tiedostoja voidaan jakaa millä tahansa päätteellä, kunhan se vain saadaan avautumaan kuvatiedostona, jolloin haavoittuvuus aktivoituu haavoittuvassa koneessa.
Hyväksikäytön levinneisyys
MacAfeen mukaan noin kuusi (6) prosenttia heidän asiakaskunnastaan on altistunut höykkäykselle, siten että kone on saastunut. McAfeen asiakaskunta on merkittävän suuri otos, joten vastaavaa osuutta voidaan olettaa myös muiden antivirus-ohjelmistojen valmistajien osalta. Täysin suojaamattomien koneiden osalta osuus on varmasti huomattavasti suurempi. Tämän hetken arvion mukaan maailmalla on noin 5 - 30 miljoonaa WMF-haavoittuvuudella saastunutta konetta, josta Suomessa arviolta 60 tuhatta.
Suojattu vai haavoittuva kone?
Kaikki Windows-versiot ovat haavoittuvia eikä Microsoft ole julkaissut haavoittuvuuteen korjausta. Ainoa tarjolla oleva toimivaksi tiedetty korjaus on edelleen Ilfak Guilfanovin julkaisema "Windows WMF Metafile Vulnerability HotFix", joka on saatavilla useilta palvelimilta sen jälkeen kun hänen oma palvelimensa suljettiin suuren liikennemäärän vuoksi. Useat eri tietoturvatoimijat ovat analysoineet korjaustiedostoa ja todenneet sen asianmukaiseksi ja toimivaksi.
Päivityksenä eiliseen kirjoitukseeni, korjausta on päivitetty ja se toimii nyt myös Windows 2000:ssa ja Windows XP:ssä, jossa on SP1 asennettuna. Aiemmin toimivuus oli varmistettu vain Windows XP SP2:ssa. Päivitys toimii sekä 32- että 64-bittisessä Windows XP:ssä.
Korjauksen toimivuuteen Windows 2003:ssa ei ole saatu varmistusta. Tekijä itse sanoo, että sen pitäisi toimia ja sen voi asentaa Windows 2003:een. Jos se ei toimi siinä, niin se ei myöskään asennu siihen. Edelleen suojattomia ovat kaikki Windows 95, 98, ME ja NT -versiot.
Linkit Ilfak Guilfanovin blogiin korjaustiedostosta ja analyyseihin korjauksen toimivuudesta:
Ilfak Guilfanovin blogi
SANS: WMF FAQ
WMF-haavoittuvuus FAQ (SANS: WMF FAQ suomeksi)
F-Secure Weblog: Ilfak to the rescue!