WMF檔案格式漏洞

WMF檔案格式漏洞是一個源於微軟Windows作業系統的漏洞,被一個電腦安全郵寄清單Bugtraq於2005年12月27日公開[1]頁面存檔備份,存於互聯網檔案館),在24小時內就成為一些惡意程式,例如間諜軟件木馬程式的載體。

微軟於1月6日發佈了針對Windows 2000Windows XP版本中不當處理WMF函數SETABORTPROC的修補程式,並且在1月16日發佈了針對Windows Vista的修補程式,但是其他的作業系統仍舊會受到該漏洞的威脅。

該漏洞源於Windows的核心模組gdi32.dll處理WMF格式的方式,允許在電腦上不經過用戶許可即執行代碼。因此該漏洞成為惡意代碼的載體,通常被用來暗中下載其他惡意軟件。1月9日,Bugtraq報告另外兩個WMF函數ExtCreateRegion和ExtEscape也有同樣的漏洞,但是微軟聲稱這兩個漏洞只會造成效能問題 。

影響的系統

編輯

微軟的安全建議說一些被硬件實現的數據執行保護功能保護的電腦對已知的攻擊免疫[2]頁面存檔備份,存於互聯網檔案館) 。

因為該漏洞是WMF檔案的特性之一,該漏洞的已知影響範圍從Windows 98Windows Vista,但是甚至連Windows 3.0和非Windows的作業系統都可能受影響。但是,因為只有Windows XP和啟用了圖像預覽功能的Windows ME預設會打開WMF檔案,所以這個系統比其他系統更加容易受到攻擊。更舊的Windows版本和非Windows作業系統並不預設支援打開WMF檔案,但是ACDSee這樣的第三方程式可能使系統受到影響。

非Windows的作業系統不直接受到影響,但是一些模擬Windows行為的模擬器在打開WMF檔案的時候可能會受到攻擊。有報告說LinuxBSD作業系統中可以在WINE上執行的Cedega程式有這個漏洞[3] 。Wine的代碼已經更新以修正這個問題[4]

弱點

編輯

微軟的安全公告[5]頁面存檔備份,存於互聯網檔案館) 聲稱,這個漏洞存在於圖形呈現引擎處理特製的WMF圖像的方式中,可能允許執行任意代碼,控制受影響的系統。

傳播和感染

編輯

電腦大多被附帶特殊處理(感染)過的WMF檔案的電子郵件所感染,但也可能以下列方式被感染:

  • 瀏覽一個被感染的站點或者預覽被感染的電子郵件。如果瀏覽器自動下載並顯示WMF檔案(有可能並非以.WMF為副檔名)的話,感染過的WMF檔案中的代碼可能被執行。在一些瀏覽器提示下載和打開感染過的WMF檔案時,如果用戶選擇確認,那麼惡意代碼也可能被執行。一些允許在文章內容中插入圖像的討論區因此停止了允許插入圖像的功能。
  • 在Windows檔案總管中預覽感染過的WMF檔案。
  • 在一些軟件,比如即時通訊軟件中點擊收到的訊息中的連結。

其他方法也可能被用於傳播感染過的WMF檔案。

2005年12月31日,防毒軟體商McAfee表示,這種惡意程式感染了他們的超過6%的用戶。根據Secunia的報告,「該漏洞來源於對包含特殊處理過的SETABORTPROC跳脫記錄WMF檔案的錯誤處理。這樣的記錄允許用戶定義的代碼在呈現WMF檔案失敗時被執行。」

修補程式

編輯

因為這個WMF檔案格式漏洞的影響範圍仍舊在增加,而且這個漏洞並無特定的代碼特徵,所以需要一個可以治本的修補程式來阻止惡意代碼的傳播。

微軟公司已經於1月6日發佈了針對Windows 2000以上版本SETABORTPROC函數不當處理漏洞的修補程式[6]頁面存檔備份,存於互聯網檔案館) 。該修補程式原計劃於1月10日發佈,但是測試工作提前完成了。

Ilfak Guilfanov也在他的網站上發佈了一個第三方的針對SETABORTPROC函數的修補程式[7],聲稱對於WinXP (SP1,SP2)和Win2000系統,可以移除這個gdi32中的缺陷,但是這是通過注入代碼到系統模組實現的,可能在產生諸如列印包含WMF圖像的文件失敗的問題。在被廣泛報道之後,這個網站因為過載而在2006年1月3日暫時關閉,而在2006年1月4日成為了一個簡潔的網頁。這個修補程式在一個鏡像站點[8] 也可以下載。

針對這個漏洞,用戶可以考慮採取以下步驟:

  • 安裝微軟發佈的官方修補程式。
  • 如果使用的是硬件(例如AMD的64位元CPU)實現的數據執行保護,打開所有程式的數據執行保護。
  • 設置WMF檔案的預設關聯程式為一個不可能執行WMF指令的程式,例如記事本
  • 通過設置Internet選項中的預設安全設置為高來關閉下載。
  • 確保防毒軟體為最新版本,並且考慮頻繁地手動檢查更新。
  • 在網絡內通過過濾檔案頭來禁止傳送WMF檔案。
  • 儘可能減少用戶的權限。
  • 禁用Google Desktop的索引功能,直到該問題被解決。
  • 使用非Windows的作業系統,例如LinuxFreeBSD或者Unix
  • 在可能自動顯示WMF檔案的程式,例如Internet Explorer[9]頁面存檔備份,存於互聯網檔案館) 和Outlook[10]頁面存檔備份,存於互聯網檔案館) 中關閉圖像的顯示。使用非Internet Explorer的瀏覽器會減輕一點風險,但是不能辨識改名為其他副檔名的惡意WMF檔案。
  • 使用非Windows的作業系統進行高危操作,例如進行聊天或者瀏覽可以在文章中插入圖像的討論區。
  • 在Windows中禁用索引服務

外部連結

編輯