【安全警告】微软WMF漏洞及临时解决方法 bbs.ikaka.com

天天泡泡 - 2006-1-1 16:32:00

本来已在安全提示中给出了说明，从目前的情况来看，还是出一帖以作说明。

●Microsoft Windows的WMF图形渲染引擎中存在远程代码执行漏洞。如果用户受骗访问了恶意的WMF格式文件的话，则在引擎解析该文件时就会在用户系统上以系统权限执行任意代码。当用户浏览含有经过特别改动过的Windows Metafile（WMF）图片时，利用已经公开的恶意代码就允许攻击者可以在已登陆用户的安全环境中执行任意的代码。攻击者虽然不能强迫用户浏览某个恶意网站，但是他们可以怂恿用户去浏览这个网站，典型的情况是要他们点击一个指向攻击者网站的连接。

●在基于网页的攻击情况下，攻击者会有一个利用这一隐患的网站。攻击者虽然不能强迫用户浏览某个恶意网站，但是他们可以怂恿用户去浏览这个网站，典型的是情况是要他们点击一个指向攻击者网站的连接。

●攻击者成功利用了这一漏洞后就能够获得本地用户一样的权限。拥有更少权限的用户受到的影响比拥有管理员权限用户受到的影响少得多。

●Windows 的 WMF 漏洞出现在运行 Microsoft Windows XP 的 SP1 和 SP2、Microsoft Windows Server 2003 没打补丁和 Microsoft Windows Server 2003 Service Pack 1 的计算机上。当用户用 IE 浏览器、Firefox 浏览器（如果是其它版本也符合）浏览被木马感染的网站，或者是在 windows 下浏览 *.wmf 格式的文件时，这个漏洞才能够被利用。如果用户浏览网站 unionseek.com 或 iframeurl.biz，那么用户的计算机将被病毒程序感染。这时恶意程序被下载到受害者的计算机上，同时通过windows 的 WMF 漏洞进行网络传播；并且木马病毒接着会下载其它的木马程序到受害者的计算机上。

●为了防止病毒传染，强烈建议用户将各杀毒软件反病毒数据库更新至最新的状态，不要打开以 *.wmf 格式为后缀的文件。用户也应该将他们自己的 IE 浏览器的安全级别设置为“高级”。

天天泡泡 - 2006-1-1 16:33:00

临时解决办法一：

反注册Windows Picture和Fax Viewer的DLL文件Shimgvw.dll

步骤如下：

1.在运行中输入"regsvr32 -u %windir%/system32/shimgvw.dll"（不包括引号）后回车确定。

2. 一个对话框会显示出来确认反注册工作已经成功，点击OK关闭对话框即可。

使用了上述的临时解决方法后，在用户点击一个和Windows Picture和Fax Viewer关联的图片时Windows Picture和Fax Viewer就不会再运行了。如果想取消上述的工作，重新注册一下Shimgvw.dll文件就可以了，重复上面操作的第一步输入"regsvr32 %windir%/system32/shimgvw.dll"就能完成Shimgvw.dll文件的注册工作。

猎鹰渔民 - 2006-1-1 16:35:00

谢了~咔咔~

天天泡泡 - 2006-1-1 16:38:00

临时解决办法二（适用于卡巴斯基用户）：

卡巴斯基反病毒公司已发布WMF漏洞补丁，详情请看：http://www.kaspersky.com/faq?qid=176830011
此补丁安装后需要重启系统并立即更新病毒库。

补丁下载地址：ftp://ftp.kaspersky.com/patches/uu/kav5.0.patch_personal/kav_pers_patch.exe

此补丁会将Avlib.ppl文件版本更新至5.0.391，而反病毒程序本身版本仍是5.0.390

卧龙传说 - 2006-1-1 17:09:00

瑞星防火墙规则包已经可以防御

猎鹰渔民 - 2006-1-1 17:20:00

引用:

【卧龙传说的贴子】瑞星防火墙规则包已经可以防御
...........................

28发布的,看来你们反映挺快的哦

独孤豪侠 - 2006-1-1 18:17:00

唉，从不搞这些东东。感觉比较麻烦。

中了病毒咋办 - 2006-1-2 9:13:00

大哥啊，小弟有事相问，昨天我好像遇到这种病毒了，当时我浏览个英文网站，突然让我看个wmf图片，被我的瑞星防火墙侦知了，我点拒绝，就没看成，现在还在禁用的访问规则里，后来我全盘杀了次毒，也没找到，大哥你说我现在中没中这个病毒阿，还要不要采取什么防护措施？？？

闪电风暴 - 2006-1-2 9:57:00

学习了

tyxw - 2006-1-3 12:42:00

刚刚听说这个的时候就做好防范了呵呵

来自何处 - 2006-1-3 13:08:00

请问版主,这个漏洞的补钉编号?和在哪里可以找到.谢谢了.

baohe - 2006-1-3 13:21:00

用TPF2005已经搞定

附件: 155847200613132108.jpg

来自何处 - 2006-1-3 14:03:00

哈哈,没有注意看贴对不起,现在还没有相关补钉,只好自己先防一下了.

行星密码 - 2006-1-4 23:44:00

谢谢!老大!

taylor05771 - 2006-1-5 17:14:00

引用:

【猎鹰渔民的贴子】28发布的,看来你们反映挺快的哦

...........................

早在漏洞公布前两天就截获这玩意
当晚完成分析
第二天就这个漏洞以及可能出现的病毒变种写出测试规则代码
当天完成测试
并在晚上予以公布

我是小龙 - 2006-1-5 22:44:00

我只是想请问一下什么是WMF文件，一般是什么形式的呢？

谢谢，啊！

natwiz - 2006-1-6 9:03:00

盖子已经发布这个补丁啦,大家可以放心了~

shi008 - 2006-1-6 20:01:00

现在微软已经有补丁了，已经更新！

rufeng0920 - 2006-1-6 21:02:00

引用:

【taylor05771的贴子】
早在漏洞公布前两天就截获这玩意
当晚完成分析
第二天就这个漏洞以及可能出现的病毒变种写出测试规则代码
当天完成测试
并在晚上予以公布
...........................

反应真快啊。佩服~

瑞星卡卡安全论坛