Esta p�gina es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Video Soft BBS
Men� Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Art�culos
Links
Sugerencias
Sobre el BBS
Direcciones
Galer�a
Chat

       

Parche NO oficial para la vulnerabilidad WMF
 
VSantivirus No. 2003 A�o 10, lunes 2 de enero de 2006

 Parche NO oficial para la vulnerabilidad WMF
http://www.vsantivirus.com/vul-wmf-parche.htm

Por Redacci�n VSAntivirus
[email protected]

El Internet Storm Center del Sans Institute, recomienda enf�ticamente la instalaci�n de un parche NO OFICIAL creado por Ilfak Guilfanov para la vulnerabilidad WMF. No es com�n la recomendaci�n de parches no oficiales, sobre todo cuando se trata del sistema operativo. En este caso se justifica su instalaci�n por tratarse de un problema extremadamente grave.

En el art�culo "El problema WMF y la �tica de una computaci�n confiable", http://www.vsantivirus.com/01-01-06.htm" se dan m�s argumentos para esta decisi�n.

Por lo pronto, el parche, que puede ser descargado del ISC, puede instalarse en m�ltiples configuraciones de Windows 2000, XP 32-bit, XP 64-bit, y Windows Server 2003.

Este parche NO remueve ninguna funcionalidad conocida del sistema, por ejemplo, todas las im�genes contin�an siendo visibles.

T�cnicamente, el parche inyecta su propia DLL (WMFHOTFIX.DLL) a todos los procesos que carga USER32.DLL (el API que maneja la interacci�n de las aplicaciones con el usuario). Para ello crea la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = C:\WINDOWS\system32\wmfhotfix.dll

Tenga en cuenta que esto afecta a todos los procesos que utilizan USER32.DLL.

Una vez en memoria, la biblioteca WMFHOTFIX.DLL parchea la funci�n "Escape()" en GDI32.DLL, la interfase gr�fica de Windows (Windows Graphic Display Interface o GDI).

Como resultado, la secuencia de escape SETABORT (SETABORTPROC), culpable de la ejecuci�n de c�digo en archivos WMF, ya no es aceptada.

El autor aclara que el parche deshabilita completamente esta funci�n (funci�n que ya es obsoleta, y se conserva solo por compatibilidad con las versiones de 16 bit de Windows), por lo que alguna aplicaci�n o caracter�stica de Windows podr�a no funcionar (en nuestras pruebas, ninguna funci�n, programa o caracter�stica conocida dej� de funcionar, y aunque es evidente que no se puede asegurar que todos los programas funcionar�n correctamente, es poco probable que afecte aplicaciones conocidas y usadas actualmente).

Si por alguna raz�n se deseara quitar este parche (o cuando Microsoft publique su actualizaci�n oficial), solo basta con desinstalarlo desde "Agregar o quitar programas" del Panel de control, donde aparece listado como "Windows WMF Metafile Vulnerability HotFix".

El parche puede ser descargado del siguiente enlace:

http://handlers.sans.org/tliston/wmffix_hexblog14.exe

Para comprobar la validez de la descarga, el ISC ofrece el siguiente resumen MD5:

MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6 - wmffix_hexblog14.exe

El mismo est� firmado con la llave PGP del SANS Institute que puede conseguirse en el siguiente enlace:

http://handlers.sans.org/tliston/wmffix_hexblog14.exe.asc

Los res�menes MD5 (acr�nimo de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5), se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobaci�n del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por sus creadores.


* �Puedo usar solo este parche y no desregistrar SHIMGVW.DLL?

Seg�n publica el Internet Storm Center, el consejo es desregistrar SHIMGVW.DLL y aplicar el parche no oficial.

Ambas soluciones son necesarias, por lo que recomendamos utilizar LOS DOS METODOS sugeridos de protecci�n.

Para desregistrar el componente SHIMGVW.DLL, puede utilizar la utilidad creada por VSAntivirus, y que puede descargar desde este enlace:

http://www.vsantivirus.com/faq-wmf-exploit.htm


M�s informaci�n:

Updated version of Ilfak Guilfanov's patch (NEW)
http://isc.sans.org/diary.php?storyid=999

Windows WMF Metafile Vulnerability HotFix
http://www.hexblog.com/2005/12/wmf_vuln.html


Relacionados:

El problema WMF y la �tica de una computaci�n confiable
http://www.vsantivirus.com/01-01-06.htm

Todo lo que hay que saber sobre el exploit WMF
http://www.vsantivirus.com/faq-wmf-exploit.htm



 [�ltima modificaci�n: 03/01/06 06:02 -0200]


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS