Vulnerabilidad de Windows a los archivos WMF.
Hace algunos días se descubrió una vulnerabilidad extremadamente crítica (es decir, el PC que estás usando ahora para leer este mensaje está en riesgo de ser infectado) que afecta a Windows desde su versión 98SE hasta la más reciente XP SP2 (usuarios de Mac y Linux pueden dejar de leer este mensaje acá). Microsoft todavía no ha publicado ningún parche y la experiencia indica que probablemente no lo haga dentro de la próxima semana, por lo que es necesario prevenir. Quién desee verificar la veracidad de este aviso puede visitar las siguientes páginas:
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://secunia.com/advisories/18255/
http://www.viruslist.com/en/alerts?alertid=176701669
http://www.f-secure.com/weblog/
¿Cuál es la vulnerabilidad?
Al abrir una imagen, especialmente truncada, con el visor integrado de Windows (usado por defecto por Internet Explorer), ésta permite que se descarguen desde Internet, automaticamente y sin el concentimiento del usuario, diversos programas spyware, troyanos y virus extremadamente difíciles de detectar y limpiar. Inicialmente, esto estaba siendo explotado sólo en algunos sitios de Internet, pero ya se han publicado noticias que indican que la vulnerabilidad está siendo explotada a través de correo electrónico y de programas de mensajería instantánea.
¿Cuál es la solución?
Mientras Microsoft no publique un parche oficial, existe lo que los gringos llaman un workaround, el que permite evitar ser afectado sin necesariamente aplicar un parche. El workaround está publicado en la página de Microsoft (el primero de los links que incluí antes) en la sección General Information, Suggested Actions y consiste en eliminar del registro del sistema al visor integrado de imágenes de Windows. Para esto hay que hacer lo siguiente:
1. Clic en Inicio, clic en Ejecutar..., escribir "regsvr32 -u C:\Windows\system32\shimgvw.dll" (sin las comillas) y clic en OK.
2. Un cuadro de diálogo debe aparecer para informar que la operación se efectuó con éxito.
El impacto de este workaround es que las imágenes ya no se podrán prever ni ver con el visor integrado de Windows. Para mitigar esto, recomiendo instalar un visor de imágenes gratuito que se llama IrfanView y que se puede descargar en http://www.irfanview.com si es que no tienen otro programa a mano.
Si existen problemas, el visor de Windows se puede volver a registrar repitiendo los pasos anteriores, pero reemplazando el texto con “regsvr32 C:\Windows\system32\shimgvw.dll” (sin las comillas).
Además, existe un parche no oficial publicado por algunos sitios de seguridad. Este parche permite, en conjunto con el workaround anterior, eliminar el riesgo que presenta esta vulnerabilidad. El parche lo instalé en mi PC y no he tenido problemas hasta ahora. Se puede bajar desde estos dos sitios:
http://handlers.sans.org/tliston/wmffix_hexblog11.exe
http://www.hexblog.com/security/files/wmffix_hexblog13.exe
Es altamente recomendable aplicar el workaround y el parche no oficial mientras no se haya publicado el oficial.
Si hay algo que no quedó claro, pueden consultarme sin problemas. Prometo responder en la medida de lo posible (no soy especialista en el tema, sólo me declaro un usuario informado). Si quieren, pueden reenviar este mensaje para que otras personas puedan prevenir una posible infección seria.
Este ha sido mi primer aporte de 2006 al bien comun. Les deseo a todas/os lo mejor para el año que se inicia.
Saludos,
FICH
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://secunia.com/advisories/18255/
http://www.viruslist.com/en/alerts?alertid=176701669
http://www.f-secure.com/weblog/
¿Cuál es la vulnerabilidad?
Al abrir una imagen, especialmente truncada, con el visor integrado de Windows (usado por defecto por Internet Explorer), ésta permite que se descarguen desde Internet, automaticamente y sin el concentimiento del usuario, diversos programas spyware, troyanos y virus extremadamente difíciles de detectar y limpiar. Inicialmente, esto estaba siendo explotado sólo en algunos sitios de Internet, pero ya se han publicado noticias que indican que la vulnerabilidad está siendo explotada a través de correo electrónico y de programas de mensajería instantánea.
¿Cuál es la solución?
Mientras Microsoft no publique un parche oficial, existe lo que los gringos llaman un workaround, el que permite evitar ser afectado sin necesariamente aplicar un parche. El workaround está publicado en la página de Microsoft (el primero de los links que incluí antes) en la sección General Information, Suggested Actions y consiste en eliminar del registro del sistema al visor integrado de imágenes de Windows. Para esto hay que hacer lo siguiente:
1. Clic en Inicio, clic en Ejecutar..., escribir "regsvr32 -u C:\Windows\system32\shimgvw.dll" (sin las comillas) y clic en OK.
2. Un cuadro de diálogo debe aparecer para informar que la operación se efectuó con éxito.
El impacto de este workaround es que las imágenes ya no se podrán prever ni ver con el visor integrado de Windows. Para mitigar esto, recomiendo instalar un visor de imágenes gratuito que se llama IrfanView y que se puede descargar en http://www.irfanview.com si es que no tienen otro programa a mano.
Si existen problemas, el visor de Windows se puede volver a registrar repitiendo los pasos anteriores, pero reemplazando el texto con “regsvr32 C:\Windows\system32\shimgvw.dll” (sin las comillas).
Además, existe un parche no oficial publicado por algunos sitios de seguridad. Este parche permite, en conjunto con el workaround anterior, eliminar el riesgo que presenta esta vulnerabilidad. El parche lo instalé en mi PC y no he tenido problemas hasta ahora. Se puede bajar desde estos dos sitios:
http://handlers.sans.org/tliston/wmffix_hexblog11.exe
http://www.hexblog.com/security/files/wmffix_hexblog13.exe
Es altamente recomendable aplicar el workaround y el parche no oficial mientras no se haya publicado el oficial.
Si hay algo que no quedó claro, pueden consultarme sin problemas. Prometo responder en la medida de lo posible (no soy especialista en el tema, sólo me declaro un usuario informado). Si quieren, pueden reenviar este mensaje para que otras personas puedan prevenir una posible infección seria.
Este ha sido mi primer aporte de 2006 al bien comun. Les deseo a todas/os lo mejor para el año que se inicia.
Saludos,
FICH
posted by FICH @ 8:06 p. m.
0 Comments:
Publicar un comentario
<< Home