マイクロソフト セキュリティ アドバイザリ (912840)
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある
http://www.microsoft.com/japan/technet/security/advisory/912840.mspx
Microsoft Security Advisory (912840) (英語)
http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.tarokawa.net/tmp/wmf-faq.html
(原版 http://handlers.dshield.org/jullrich/wmffaq.html からの訳出)
F-Secure Blog (英語)
http://www.f-secure.com/weblog/
セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
非公式パッチ作者 Ilfak Guilfanov の blog (閉鎖中)
http://www.hexblog.com/
非公式パッチ臨時配布所(英語)
http://216.227.222.95/
ZDNet / Windows Meta Fileの脆弱性をめぐって異例の事態
--専門家が非公式パッチを推奨
http://japan.zdnet.com/news/sec/story/0,2000052528,20093855,00.htm
http://www.tarokawa.net/tmp/wmf-faq.html より転載。
- なぜこの問題点がそれほど重要なのでしょうか
WMF脆弱性は、画像イメージ(WMF画像)を悪意あるコードを
実行するために使う。この悪意あるコードは、画像を閲覧するだけで
実行されてしまう。一般的に、画像を表示する際にチェックは
何も行われない。もしイメージがあなたのシステムに保存されていれば、
ファイルシステムの検索システムなどにより、画像が「処理」されて
しまうことがあり影響を受ける。また、Explorerのアイコンサイズ
イメージを表示するときにも、画像が「処理」されてしまい影響を受ける。
- FireFoxとInternetExplorerではどちらが安全でしょうか
Internet Explorerは、この画像を警告無しに表示し、脆弱性の
トリガーをひいてしまう。新しいバージョンのFireFoxは、画像を
開く前に警告を行う。しかしながら、ほとんどの環境では画像は
安全であると見なされ、自動的に開く様に設定されている。
- どのバージョンのWindowsが影響をうけますか
全てのバージョンである。
Windows 2000, Windows XP(SP1とSP2)、Windows 2003の全てが
同じ仕組みを持っている。 Mac OS-X、Unix、BSDシステムは影響を受けない。
- Microsoftからは脆弱性の情報が出ていますか
パッチは、次の火曜日、1月10日の定例リリースで配布されると
アナウンスされている。
[ニュー速板] Windowsの脆弱性を突く画像ファイルが出現
http://news19.2ch.net/test/read.cgi/news/1136212496/
[ニュー速板] Windowsの脆弱性をめぐって異例の事態に--専門家が非公式パッチを推奨
http://news19.2ch.net/test/read.cgi/news/1136353615/
Microsoftは、「この問題が重大であり、攻撃が試みられていることは認識しているが、
攻撃の規模は限定的なものだ」としており、WMF脆弱性を突いた攻撃はウイルス対策企業の
最新シグネチャーにより防止されていると述べている。
・・・・
乙
「地球の半分が非公式パッチをダウンロードしようとした」ため、
パッチ作者の Blog を閉鎖せざるを得なかった模様。
一時避難先として、http://216.227.222.95 を設置したとのこと。
しかし地球の半分って…。
ということができない馬鹿が続出して混乱をまねくことは予想できるからだと思う。
バックアップはわすれずに
wmfを通常使っている人はこの方法を適用してしまうと
wmfが動かなくなってしまうので注意してね。
「ファイル名を指定して実行」から
regsvr32 -u %windir%\system32\shimgvw.dll
↑この操作のあと、レジストリからshimgvw.dllをたどって
openやprint っていうキーからDLLの登録がなくなってればOK。
MS謹製パッチがでたら逆をすればいいので
regsvr32 %windir%\system32\shimgvw.dll
いまいち詳しくないので何方か補完よろしく
shimgvw.dllに関連付けてあるソフトが存在する場合、
再起動後に復活するので注意
大丈夫かなあ?識者の方々,ご教示下さい。
当方Windows XP SP2です。
Microsoft Visual C++ Runtime Library
Runtime Error!
Program: C:\WINDOWS\Explorer.EXE
abnormal program termination
こちらへどうぞ↓
セキュリティ初心者質問スレッドpart65
http://pc8.2ch.net/test/read.cgi/sec/1136294317/l50
http://pc8.2ch.net/test/read.cgi/sec/1136294317/1
をよく読んでから書き込むこと
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2005/12.html#20051228_WMF
>NOD32 の場合AMON(常駐保護)〜のチェック対象に既定ではWMF ファイルは含まれないようです。
>〜WMFを追加し、AMONによるリアルタイム検査(常駐保護)の対象に含めるようにしておくことが必要〜。
つまりNOD32は拡張子を変えられると、悪意あるコードの実行阻止に失敗する可能性があるので注意が必要。
NOD使いの人は、上記リンクの要領で設定の変更を。
MSはとっとと修正パッチだせよ。
ぜいじゃくせい なんだが・・・
釣りですか?やっぱ。
トラブルが多いアンチウイルス製品などに頼り切るよりも、
ウェブ閲覧にはFirefoxのようなブラウザをなるべく用いて、
怪しげなものは開かないようにするという【基本】を重視すべし。
どうしてもIE系を使うなら、セキュリティ設定を【高】に。
>NOD32 主なトラブル履歴
>
>2005年9月ブルースクリーンが生じてWindowsが停止する問題が再発。リリース中止。
>http://canon-sol.jp/product/nd/nd_update.html
>レジストリが破壊されてWindowsシャットダウン時にブルースクリーンとなる問題
>登録済みのアプリケーションが強制削除される問題
>http://canon-sol.jp/product/nd/v20008.html
>通信不能となって最悪の場合はOSがリブートの繰り返しになる問題
>http://canon-sol.jp/supp/nd/wndt4210.html
>スキャンすると受信メールの全部が削除される問題
>http://canon-sol.jp/supp/nd/wndt7003.html
>プリンタとの相性で印刷不能になる問題。
>http://canon-sol.jp/supp/nd/wndt4205.html
>Windowsアップデートができなくなる問題
>http://canon-sol.jp/supp/nd/wndt4212.html
これもウイルスです
IEを使わない
Windowsを使わない
これ以上の対策はないな
ttp://www.itmedia.co.jp/enterprise/articles/0601/04/news012.html
IMON ファイル http://85.255.113.242/adv/120/sploit.anr Win32/TrojanDownloader.Ani.gen トロイ 切断されました
AMON ファイル C:\Documents and Settings\...\xpl[1].wmf Win32/TrojanDownloader.Wmfex トロイ ファイルの新規作成時に発生したイベント。 ファイルは削除されました
AMON ファイル C:\Documents and Settings\...\xpl[1].wmf Win32/TrojanDownloader.Wmfex トロイ 削除済み ファイルアクセス時に発生したイベント。
IMON ファイル http://85.255.113.242/adv/120/xpl.wmf Win32/TrojanDownloader.Wmfex トロイ 切断されました
IMON アーカイブ http://85.255.113.242/adv/120/count.jar Java/ClassLoader.AA トロイ 切断されました
IMON ファイル http://lovepic.net/gm.shtml HTML/TrojanDownloader.XXXToolbar Adware 切断されました
IMON ファイル http://lovepic.net/gm.shtml HTML/TrojanDownloader.XXXToolbar Adware 切断されました
IMON ファイル http://lovepic.net/gm.shtml HTML/TrojanDownloader.XXXToolbar Adware 切断されました
ウェブの上の方にあるexeファイルをDLして
それをダブルクリックするだけでよいのでしょうか。
あと非公式パッチを削除するにはアプリケーションの追加と削除で
削除するだけでよいのでしょうか。
>>31
((((((;゚Д゚))))))ガクガクブルブル
インストール中にAppInit_DLLs〜っていうエラーが出たし。
これはHKLM\Software\Microsoft\Windows nt\Currentversion\Windows
がロックされてるから書き込めないって意味なんだろうけど
再起動してもAppInit_DLLsに何も書き込まれていなかったから
このインストーラーおかしいんじゃないの?
同じページの下に脆弱性チェッカーがあるから試してみれば?
(ダウンロードしようとしたらノートン先生に蹴られたけれどw)
あとは電卓とかを起動させる脆弱性のデモページで実験するとか。
ぶっちゃげ来週までknoppixで生活するのが一番無難にすら
思えてきた。仕事にならんけど家でのWeb読みには十分だし。
ご返事ありがとうございます。パッチをインストールしてみました。
exeファイルを起動して、同意書→保存する場所→インストール→再起動
でよろしいんですよね。
>>34
私はウィンドウズ2000を使ってますが、セーフモードじゃなくても
エラーメッセージが出ずインストールできました。
セーフモードにせんでも管理者権限でインストールして
再起動かけたらきちんと当たってたけど、黒氷とか入れてるんじゃね?
(1) wmf ファイルにコードが埋め込まれている(SETABORTPROCで)
(2) PlayMetaFile API が実行される
(3) (2)で、使用されるデバイスコンテキストは SETABORTPROC が使用可能
なお、今までの調査から、SetWinMetaFileBits API を実行時に電卓が起動することが
わかっているが、この API は内部で PlayMetaFile を実行する。そのときに使用する
デバイスコンテキストは、SETABORTPROC が使用可能。したがって、PlayMetaFile で
電卓が起動する。
一般的に、画面用デバイスコンテキストは、SETABORTPROC が使用不可。したがって、
画面用デバイスコンテキストの場合は電卓が起動しない。プリンタ用デバイスコンテキスト
は SETABORTPROC が使用可能、したがって電卓が起動する。
したがって、脆弱性が発生するパターンは、以下の2つ。
(1) SetWinMetaFileBits API を使って wmf を画面表示またはプリンタ印字するアプリケーションを使用した
→ これは、IrfanView の場合に該当。
(2) PlayMetaFile API を使って wmf をプリンタ印字するアプリケーションを使用した
→ これは、比較的古いアプリケーションの場合に該当。
(2)のパターンは、Windows 3.1時代から存在する。
(1)のパターンは、WIN32 になってからの存在。
Windowsの脆弱性を突く画像ファイルが出現
http://news19.2ch.net/test/read.cgi/news/1136212496/
>916 名前:おねしょφ ★[sage] 投稿日:移転&停止
>
>おねしょφ ★ さんが飛ばしました。( ̄ー ̄)ニヤリッ
>
それで、今回の脆弱性が発生する流れですが、(というかwindowsの仕様)以下のような感じ。
(1) PlayMetaFile API で、wmf ファイルを処理中に
↓
(2) wmf ファイルに SETABORTPROC(プログラムコード) があることを検出
↓
(3) 使用しているデバイスコンテキストは SETABORTPROC が有効か?
↓
(4) 有効ならばプログラムコードを実行する。
一般的に、画面用デバイスコンテキストは SETABORTPROC が無効なので、(4)に
至ることはない。しかし、SetWinMetaFileBits API は SETABORTPROC が有効な
デバイスコンテキストを使用して内部で PlayMetaFile API を実行するので、(4)まで
いってしまう。IrfanView は、SetWinMetaFileBits API を使用するため、「電卓」が起動
してしまう。
また、プリンタ用デバイスコンテキストは、SETABORTPROC が有効なので、もし、
PlayMetaFile API を使用して wmf を印刷するアプリケーションがあれば、「電卓」が起動する。
>>40
いいスレだったのに残念です。
つーか何だよあの機能
Windowsの脆弱性を突く画像ファイルが出現★2
http://news19.2ch.net/test/read.cgi/news/1136418510/
元のスレは「ニー速(pink)」という板にとんだようです
それgifとかでも応用が効きそうな気がしてきた・・・、マジにその機能怖いわ
Winの開発者って池沼ぞろい?
98とかMeの人はもう駄目だね。
パッチは公開されないかもしれないし。
意外とみんな無関心な気がするんだけど
ttp://www.itmedia.co.jp/enterprise/articles/0601/05/news015.html
「パッチのプレリリース版が誤って短い間あるセキュリティコミュニティーサイトに
掲載されてしまった」とMicrosoftセキュリティ対策センターは認めている。
気付かれない方法でやってて誰も気付いてない予感・・・
情報抜かれまくってる予感・・・
http://www.itmedia.co.jp/enterprise/articles/0601/04/news004.html
ここには、
「Microsoftは影響を受けるすべてのWindowsバージョンにおいて、23カ国語同時にパッチを発行する。」
ってあるんだけど、 〜すべてのWindowsバージョンにおいて〜 の部分は信憑性あるのかな?
To all:
他に、すべてのWindowsバージョンにおいて ってアナウンスしてる情報筋ってある?
この遅さはわざとだな
互換性のテストなど多岐にわたるだろう。
>>51は絶対にいう。
チェックを外しておけば大丈夫かな?
BREAKING NEWS!
Microsoft's OFFICIAL SECURITY UPDATE leaked
onto the Internet early (and it works great!)
http://www.grc.com/sn/notes-020.htm
これによると非公式パッチをインストールしたままMSのセキュリティ
アップデート(公式パッチを含む)をインストールしても大丈夫みたい。
それから公式パッチの非公認プレリリース版がネット上にアップされた
みたいです(ややこしいことですな・・・汗)。
http://www.microsoft.com/technet/security/advisory/912840.mspx
FAQの最後[I heard that Microsoft’s security update for the WMF
issue has been posted on the Internet.]以下も参照
最後に、GDI32.DLLの修正は去年の12月28日の夕方には完了している
らしいけど(ほとんど瞬時に解決できたみたい)、検証に時間が掛かって
いるそうです(オイオイ、MSの立場も分かるが、一応突っ込みを入れておこう)。
テストなんてユーザーに任せてサッサと出せや米糞
それが現状のダイナミック・リンク・ライブラリなのではないかと…
http://www.microsoft.com/japan/technet/security/advisory/912840.mspx
>2006 年 1 月 10 日 火曜 (米国時間) の月例のセキュリティ情報の
>公開の一部または、月例のリリース プロセス外で提供することを目指して
>います。
日本時間だと1月11日水曜日ですか _| ̄|○
そうしてる間に
[WMF脆弱性に2つめの非公式パッチ公開、「新たなリスクを生む」との議論も]
(ITmediaエンタープライズ) - 1月5日13時27分更新
http://headlines.yahoo.co.jp/hl?a=20060105-00000030-zdn_ep-sci
あといくつパッチがでてくるのでせうか?
MSの対応が遅いからでしょ。
あと2つくらいキボン。
各国政府は直ちに行政指導でパッチ公開させろ。
こうやってる内にもバックドア仕込まれちゃってるんだろうな
XP HomeはセーフモードにしないとAdministratorで入れないよ。
Outpost proもAppInit_DLLsにエントリを追加するけど、
普通のログオンでインストールしても問題はなかったわけだけど。
MS04-011、MS04-032、MS05-053 (全部バッファーオーバーフロー)の3つが出てきた。
今回は、バッファーオーバーフローじゃなくて「仕様」みたいですが。
MSは何度も以前にパッチ出しているのになんで気づかなかったんだよ! といいたくなる。
エンバグすると袋だたきの上に集団訴訟山盛りがくるからでしょ。
屋上屋を架すと言うか、レガシーな仕様を完全に切り捨てられない以上、この手の穴はまだ出てくる。
自作PC板の特価品スレでこちらを踏んでしまったのですが、これは何かウイルスに感染してしまうのですか?
今騒がれているのはウイルスではありません。
OSの欠陥です。
ただし、MSがパッチを配布する前にそこを狙うウイルスが作られた場合は非常にやばい状況。
★今回発見された脆弱性とは?
―画像見るだけ、プレビューするだけ、zipやらを解凍するだけ、画像が張られてるサイトに飛ぶだけで感染しちゃうウイルスが作られるかも
★対策は?
―パッチ配布まで外で遊ぶ
★どんなウイルスができるの?
―↓を踏んで電卓やらメモ帳が起動すれば、脆弱性を持った状態です。(起動しなくても決して安心しないで下さい)
http://grin.flagbind.jp/runcalc.wmf 電卓が起動するだけ
http://kikuz0u.x0.com/wmf_exp.html メモ帳が起動するだけ
↑のプログラムで「電卓を起動して下さい」って命令を
「HDD削除して下さい」に変えたウイルスが開発されるとあなたのPCは即あぼーんです。
それだけ、危険な脆弱性なんだおー( ^ω^)
ご親切ありがとうございます。
>1を読まずにスレを汚してしまい申し訳ありません。
安心できました有難うございました。
あほか?
そんなんでは対処できないから、問題になっている。
だって工作員だし。
>>74のリンク踏んだ後手動でスキャンかけるとトロイが検出されるのは俺だけか?
踏むの怖いからわからんけど、踏めば感知すると思うよ。リアルタイム検索がoffだったり設定間違ってない?
リアルタイム検索は間違いなくonだった設定も確認してからリンク踏んだ
ヤバイ?
やぱいよ。要リカバリ。次からは気をつけろ。
リアルタイム検索でも検出されたがその後手動でスキャンかけると検出されたトロイがまた検出された
そうかわかった thanks
あとこれだな
ttp://caspian.s33.xrea.com/images/runosk.wmf スクリーンキーボードが起動するだけ
バスターとかはなぜか未対応らしい
ウィルスバスターなんてアホだから、
ウィルスとして発見したものを対症療法的にチェックしている。
そんなのは、マイナーなものには対処できない。
ファイルの中身をチェックして、WMFの場合で、文法的にマズいものを蹴ってほしい。
さすがこの時期でも対応してないのはマズイよな。
ソースはOS脆弱性には元々対応しない方針みたいだが・・・
79 :名無しさん@お腹いっぱい。:2006/01/03(火) 17:17:41
見づらいのでもう一度。m(__)m
現時点の対応状況しらべてみた。
各専用スレをさっと見ただけなので間違ってたら修正よろ。
McAfee 2005/12/28
Norton 2005/12/28
NOD32 2005/12/28
BitDefender 2005/12/28
バスター 2005/12/30
F-Secure 2005/12/30
avast! 2005/12/30
AntiVir 2005/12/31
カスペ 2005/11/29不安定?→対応日本語版パッチ2005/12/31
ETrust2005 2006/01/01
AVG 2006/01/02
V3ウイルスブロック 2005/12/28・不安定?
Panda Antivirus 2005/12/29?
チェイサー(不明・一部対応?)
キラー(不明・一部対応?)
ドクター(不明)
ソース(未対応)
キング(未対応)
81 :名無しさん@お腹いっぱい。:2006/01/03(火) 18:06:20
>>80
Dr.Webが未対応だからチェイサーも未対応だと思う。
Pandaは一応検出はするな。時期は知らないが。
ヒューリスティックエンジンがNorton AntiVirusのBloodhoundより弱いみたい。
NortonはBloodhound.Exploit.56という風にBloodhoundで検出するもの。
http://amatanoyo.blog16.fc2.com/blog-entry-141.html#more
ttp://up.viploader.net/mini/src/viploader2144.zip.html
に入ってるGDI32.dllを代用してみる。
http://www.skynet.ie/~caolan/publink/libwmf/libwmf/doc/
を発見。
GDI関連のWin32API呼び出しをファイルに記録したものだって。
んなアホな・・・
落ち着きのないやつらは無視しとけ。不安解消にあれやこれや言ってるだけだと思うから。
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
MSNでウイルス感染!? (219)
将来性のないNODは買ってはいけません (311)
hehehe-ハッカージャパンってどうよ-hehehe (720)
SGアンチスパイ2 Part2 (742)
[Check Point] VPN-1/FireWall-1 CF1 (737)
Jetico Personal Firewall Part14 (344)
--log9.info------------------
怒首領蜂大復活は何故記録的大失敗に終わったのか (897)
10年後に立ってそうなスレ (281)
8ing/RAIZING 初心者・中級者スレ (467)
レイディアントシルバーガンがSTG最高傑作 (449)
ラジルギとアンデフを設置してるゲーセンが少ないのは (288)
シューターのシューティング以外の楽しみ (330)
危ない時はボムだ!!! (524)
【CAVE関連】2ch STG板帰還検討スレ (356)
文末に「全裸で。」を付け加えるスレ (358)
式神の城III 初心者スレ (294)
グラポして1h以内に(`・ω・´)シャキーンされなければ神2 (600)
対戦&協力★XBOX360 ACE COMBAT 6★振動ボイチャ (757)
【MSXの遺伝子】 GR3 【グラ○ィウス2の続編】 (463)
死亡フラグを感じる瞬間 (295)
ダブルスポイラー 〜東方文花帖について語るスレ (221)
どのシューティングはリアルじゃないから糞 (228)
--log55.com------------------
淀川バスかわら版19
今江って人気なくなったよな
バス釣り復帰しました 9
【毎月26日頃】バス釣り雑誌総合スレ14冊目【発売】
バス釣りPEラインについて語れ Part.3
ゴムボートユーザー集合【19隻目】
【アンタレス】高橋魚紳A【ブリッブリッ】
ベイトフィネスを語ろう2