Windows Metafile (WMF) türündeki resimler yardımıyla uzaktan kod çalıştırmaya izin veren önemli bir Windows güvenlik açığı tüm yamaları yapılmış Windows işletim sistemlerini tehdit ediyor. Açık hergün şekil değiştiriyor, hergün başka bir önlem çıkıyor. Tam savaş anlıycanız.
Alınabilecek bütün önlemleri burdan takip edebilirsiniz. İSterse bir arkadaşım bu başlık altına copy paste de yapabilir gelişmeleri.
www.doctus.net/portal

[tiger007]

Windows Metafile (WMF) türündeki resimler yardımıyla uzaktan kod çalıştırmaya izin veren önemli bir Windows güvenlik açığı tüm yamaları yapılmış Windows işletim sistemlerini tehdit ediyor.

Microsoft Windows resim ve faks görüntüleyicisini (SHIMGVW.DLL) kullanan açık Microsoft tarafından yayınlanan bir güvenlik tavsiyesi ile kabul ediliyor ve geçici önlem olarak aşağıdaki şekilde Shimgvw.dll kayıdının kaldırılması tavsiye ediliyor.

"Başlat"tan "Çalıştır"a gelin ve "regsvr32 -u %windir%\system32\shimgvw.dll" (tırnak işaretleri olmadan) yazın ve "Tamam" a basın. Ardından gelen kutuda da "Tamam"a tıklayın.

İlgili kayıdı geri düzeltmek için ise “regsvr32 %windir%\system32\shimgvw.dll” yazmanız yeterli olacaktır.

Etkilenen işletim sistemleri:


- Microsoft Windows 2000 Service Pack 4

- Microsoft Windows XP Service Pack 1

- Microsoft Windows XP Service Pack 2

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003

- Microsoft Windows Server 2003, Itanium tabanlı sistemler için

- Microsoft Windows Server 2003 Service Pack 1

- Microsoft Windows Server 2003, SP1, Itanium tabanlı sistemler için

- Microsoft Windows Server 2003 x64 Edition

- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) ve Microsoft Windows Millennium Edition (ME)

Bilmeyenler için WMF Windows Media Files: yani resim video vs
Courtesy of SANS and The Internet Storm Center
http://isc.sans.org/diary.php?storyid=994

Bu Sorun Neden Önemli
VMF açığı imajları kullanır. WMF dosyalarını. Sadece bir resime bakarak video seyrederek bulaşabilir. Büyük bir bölümünde herhangi bir şeye tıklamanız gerekmez. Şu an sisteminizdeki bir dosyayı hatta dosyanın ikonunu izlemenizle bile bulaşabilir.

Firefox kullanmak Internet Explorer kullanmaktan daha mı iyidir?
Internet Explorer, doğrudan imajı izleyecek ve uyarı vermeden açığın tetiklenmesine yol açacaktır. Firefox un yeni versiyonları bu imajları açmadan önce size soracaktır. Ancak çoğu vakada uyarıda bu imajların güvenli olduğunu belirtiyor.

Bütün Windows’lar bu açıktan etkileniyor mu?
Windows 2000, Windows XP, (SP1 and SP2), Windows 2003 ve 98. Unix tabanlı işletim sistemleri ,BSD ve Mac-OsX etkilenmiyor.

Korunmak için ne yapabilirim?
Microsoft henüz bir yama çıkartmadı. Ilfak Guilfanov adlı bir güvenlikçi resmi olmayan bir yama yayınladı, bu yama test edildi, onaylandı.
İlgili DLL yi kayıtdışı bırakabilrisiniz.
Virus yazılımları belli oranda bir koruma sağlıyorlar.

Resmi olmayan yama nasıl çalışıyor?
wmfhotfix.dll, user32.dll yükleyen her işleme bulaşıyor. DLL gdi32.dll’nin Escape fonksiyonu yamıyor ve SETABORTPROC (ie. 0x09) kullanan çağrıları yoksaymasını sağlıyor. Yeni versiyon XP SP1 SP2 ve Win2k ile uyumlu çalışıyor.

Resmi olmayan yamayı kurmadan DLL’yi kayıt dışı bırakmak koruma sağlar mı?
Yardımcı olabilir. Ancak tamamen değil. Bazı zararlılar DLL nin yeniden kayıt edilmesini sağlayabiliyorlar.. MS tarafından resmi bir yama çıkarılana kadar, resmi olmayan yamayı kullanmanızı kesinlikle öneriyoruz.

DLL yi silmeli miyim?
Aslında çok iyi bir fikir ancak windows dosya koruma sistemi hemen geri getirecektir. Önce Windows dosya korumayı kapatmanız gerekir.

Bütün WMF dosyalarını bloklamalı mıyım?
Buda yardımcı olabilecek bir uygulama ancak WMF dosyaları uzantıya bakmadan tanınınyor. Her hangi bir uzatıya sahip olabilir ve ya word dökümanı içerisinde olabilir.

DEP (Data Execution Protection) nedir? Ve nasıl yardımcı olur?
XP SP2 ile gelen bir yenilik. Veri segmentlerinin çalışmasını önleyerek bir çok zararlıya engel olur. Ancak düzgün çalışması için donanım desteği gerektirir. Bazı işlemciler, örneğin AMD 64 Bit, DEP koruması sağlarlar.

Anti-Virus yazılımları ne kadar koruyabilirler?
Açığın çok değişik versiyonları var ve hepsinin tanımlanması zor şimdilik. Bu yüzden Anti-Virus yazılımları tamamen koruma sağlar diyemiyoruz.

Zararlı bir WMF dosyası sistemime nasıl girer?
Herşekilde girebilir, web sayfaları, e-mail, anında mesajlaşma, P2P en bilinin şekilleri.

Kullanıcılara güvenilir olmayan sitelere girmemelerini söylemek bir çözüm mü?
Hayır, yardımcı olabilir fakat kesinlikle yeterli değil.

VMF imajlarındaki gerçek problem nedir?
WMF imajları diğer diğer tüm imajlardan biraz farklıdır. Diğer imajlarda “bu pixel bu renktir” gibi bilgiler varken, WMF harici prosedürleri devreye sokabilecek bir yapıya sahiptir. Bu prosedürlerden biri de kod çalıştırmaktır.

Açığın etkilerini azaltmak için “haklarımdan feragat etmeli miyim?
Evet, Yönetici haklarını kullanmamalısınız. Ancak bu da sadece etkisini sınırlayacaktır, koruma sağlamaz. Siz haklarınız olmadan zararlı web sayfasında dolaştığınızda, yönetici hesabıyla izlendiğinde bu işlemler, zararlı bulaşmış olacaktır.

Sunucularım da açık var mıdır?
Belki... İmajların upload edilmesine izin veriyor musunuz? Email? Bu imajlar indeksleniyor mu? Sunucunuzda zaman zaman web tarayıcı kullanıyor musunuz? Kısacası, eğer biri sunucunuza bir imaj çağırırsa, ve eğer açık olan DLL ona baktıysa, sunucunuz da açık demektir.

Ağlarımı korumak için Firewall ile ne yapmalıyım?
Fazla birşey değil. En azından .WMF dosyalarını bloklayabilirsiniz.

Eğer açıktan etkilenirsem başıma ne gelebilir?
Daha çok neden etkilendiğinize göre değişir. Büyük bir çoğunluğu bazı komponentler indirir. Bunları bulmak çok zor hatta imkansız olabilir. Bu gibi durumlarda Microsoft ücretsiz hattından yardım alabilirsiniz: 866-727-2389

Microsoft sitesinde bilgi bulabilir miyim?
http://www.microsoft.com/technet/sec...ry/912840.mspx
Ancak henüz bir yama çıkmadı


CERT de bilgi varmı?
http://www.kb.cert.org/vuls/id/181038

[paranoyakX]

arkadaşlar ellerinize sağlık valla, çok iyi oldu bunları öğrendiğimiz. ben şimdilik o dll yi kaldırdım

Alıntı:

DLL yi silmeli miyim?
Aslında çok iyi bir fikir ancak windows dosya koruma sistemi hemen geri getirecektir. Önce Windows dosya korumayı kapatmanız gerekir.

Bazı zararlılar dll yi yeniden de yaratıyormuş.. dikkatli olmak lazım arkadaşlar. Gerçekten ciddi bir tehlike. Herhangi bir resime bakmaktan dahi bulaşabiliyor. Bahsi geçen yama defalarca test edilmiş ve onaylanmıştır kurabilirsiniz. Önce ataklara açıkmısınız onu test edin. Sonra da yamayı kurun.

[Alexander]

yaw ben tam anlayamadım olayı ben önce test ettim hata verdi sonra kurdum yamayı ama bunda çnce bulaşmış olabilirmi onu nereden anlayacağım

Alıntı:

Alexander tarafından iletildi.

yaw ben tam anlayamadım olayı ben önce test ettim hata verdi sonra kurdum yamayı ama bunda çnce bulaşmış olabilirmi onu nereden anlayacağım

Bulaşmış olup olmadığını değil, bahsedilen açığın sende olup olmadığını anlayacaksın testle.. Yüzde doksandokuz açık olması lazım zaten.. Bu yüzden doğrudan yamayı uygulamakta sakınca yok, ancak doctus dan indiriyorsan yamayı, en sonuncuyu indirmeye özen gösterin. saat başı yeni versiyonu çıkıyor

[Alexander]

Alıntı:

tansu tarafından iletildi.

Bulaşmış olup olmadığını değil, bahsedilen açığın sende olup olmadığını anlayacaksın testle.. Yüzde doksandokuz açık olması lazım zaten.. Bu yüzden doğrudan yamayı uygulamakta sakınca yok, ancak doctus dan indiriyorsan yamayı, en sonuncuyu indirmeye özen gösterin. saat başı yeni versiyonu çıkıyor

haydaa bide onlamı uğraşcaz şimdi ben bu interneti kapatacam şimdi haa evet açık vardı yamayı kurdum ve bir dahaki seferde kapandı dedi yani sorun yok şu anda dimi (yeni versiyonlar için değil genel açık için)

Alıntı:

Alexander tarafından iletildi.

haydaa bide onlamı uğraşcaz şimdi ben bu interneti kapatacam şimdi haa evet açık vardı yamayı kurdum ve bir dahaki seferde kapandı dedi yani sorun yok şu anda dimi (yeni versiyonlar için değil genel açık için)

Sorun yok diye birşey yok maalesef.. Daha açığın ne etkileri olduğu tam belli değil. Bu sanıyorum bilinen enn tehlikelilerden biri, öyle ki bırakın bi resmi açıp bakmayı, bir dosyanın ikonundaki resimden bile bulaşabiliyor. Windows'un güzellikleri sayesinde, uzantı farketmiyor. Yani dosya uzantısı ne olursa olsun WMF dosyası olabiliyor aslında. Hemen hemen bütün cr**ck wa**z sitelerinden bulaştığı gibi çok alaksız sitelerden, örneğin burdan bulaşabilecek bir açık.
Valla reklam olmasın dicem ama olsun aslında, doctus dan an be an takip edebilirsiniz durumu. Ben cep telefonundan bile güncelliyorum o konuyu bir gelişme oldukça.

[Alexander]

güncelleyelim bakalım neler olacak ileride merak ediyorum bir de 6 ocak virus ü vardiye duydum sonumuz hayrola

Alıntı:

Alexander tarafından iletildi.

güncelleyelim bakalım neler olacak ileride merak ediyorum bir de 6 ocak virus ü vardiye duydum sonumuz hayrola

Bu arada bütün açıklar için bu konudaki: unix, bsd ve mac-osx bu açıklardan etkilenmiyor şimdilik.

Şu an itibariyle WMF açığı ile bulaşan 72 varyant var ve bunları aşağıdaki ürünler tesbit edebiliyor.

* Alwil Software (Avast)
* Softwin (BitDefender)
* ClamAV
* F-Secure Inc.
* Fortinet Inc.
* McAfee Inc.
* ESET (Nod32)
* Panda Software
* Sophos Plc
* Symantec Corp.
* Trend Micro Inc.
* VirusBuster
Bunlar sadece bilinen varyantlar.. Yamayı uygulamanızda fayda var

[semender]

Açık Ayın Onunda Kapanacak.!

Alıntı:

semender tarafından iletildi.

Açık Ayın Onunda Kapanacak.!

Valla biz kapattık çoktan.. microsoft yaması dışarı sızdı ve güvenlik firmaları tarafından gerçek olduğu doğrulandı, zaten 3 gündür güvenlik firmalarının gene onaylamış olduğu resmi olmayan bir yama vardı..
Bu açık gerçekten çok ciddi bir açık, vakit kaybetmeden önlemlerinizi almalısınız arkadaşlar

[tiger007]

Alıntı:

tansu tarafından iletildi.

Valla biz kapattık çoktan..

Sayende tesekkürler.

Alıntı:

tiger007 tarafından iletildi.

Sayende tesekkürler.

Ne demek

sonunda microsoftun guvenlik yaması yayınladı... guncellemeyi unutmayın...

[semender]

Microsoft ayın 10 dan erken yapamam demişti ama hızlı davrandı Bill abi.