Dudas sobre bug de WMF

Miguel A. wrote:

Una pregunta facil. Respecto al bug o problema con los WMF tengo unas
dudas:

revisa este link... responderá a muchas de tus preguntas,

http://www.vsantivirus.com/faq-wmf-exploit.htm

respecto al parche oficial... se espera para el proximo día 10 de enero.
Saludos
MS MVP Windows - Shell/User
Fermu's Website - http://www.fermu.com
Fermu's Forum - http://fermu.notlong.com/

Miguel A. wrote:

Una pregunta facil. Respecto al bug o problema con los WMF tengo unas
dudas:

revisa este link... responderá a muchas de tus preguntas,

http://www.vsantivirus.com/faq-wmf-exploit.htm

respecto al parche oficial... se espera para el proximo día 10 de enero.
Saludos
MS MVP Windows - Shell/User
Fermu's Website - http://www.fermu.com
Fermu's Forum - http://fermu.notlong.com/

Te respondo por partes:

1.- Entiendo que si es problema de la shimgvw.dll - aunque la haya
desregistrado - , si intento abrir la imagen con el Paint u otro Software de
visualizacion de imagenes, el problema sigue existiendo no?

Sí, si abres un fichero WMF (que podría tener extensión .bmp, .jpg, o similar) diseñado para aprovecharse de la vulnerabilidad, podrías ser víctima de un "exploit" malicioso. No hay noticias de que simplemente al recibir un adjunto se sea víctima de la vulnerabilidad, debe haber una "incitación" a visitar un sitio web especialmente preparado o a abrir determinado fichero.

2.- En mi firewall corporativo, he bloqueado las extensiones BMP, DIB, EMF,
GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF. El problema que me
encuentro es que ciertas paginas de bancos, los viculos son imagenes y el
Dep.Financiero no puede trabajar correctamente. Mi pregunta, se ejecuta
algun exploit al seleccionar/pulsar sobre la imagen? o solamente afecta este
bug a los visores de imagenes.

El filtrado de extensiones gráficas no sirve de mucho en este caso. El motor gráfico de visualización de Metafiles en Windows *no* se basa en la extensión del fichero a la hora de manejarlo, por lo que puedes encontrar ficheros de extensión aparentemente inofensiva y no relacionada con el tema gráfico y que sí podrían aprovecharse de la vulnerabilidad.

3.- Que medidas considerais oportunas a tomar en una red corporativa
respecto a este "bug"?

- Tener al día Windows e Internet Explorer.
- Mantener una configuración de seguridad de Internet Explorer posicionada en "nivel medio" o "nivel alto" (igualmente aplicable a otros navegadores de terceros).
- Emplear un antivirus actualizado.
- Acceder a sitios de Internet de una manera prudente.
- Navegar desde una cuenta con los menores privilegios posibles.

Este último punto es importante, la diferencia de impacto de la vulnerabilidad entre un sistema que navegue desde una cuenta administrativa a otro que navegue desde una cuenta casi sin privilegios es bastante grande (comprobado con "exploits" realmente maliciosos que existen en Internet). Ten en cuenta que esta vulnerabilidad está siendo explotada por ciertos troyanos y "adware", pero que sólo obtienen los privilegios del usuario que carga Iexplore.exe (el usuario que ha iniciado sesión); si esa cuenta no dispone de apenas privilegios, la mayor parte de efectos perjudiciales del "adware" o del virus ni se presentarán en el sistema.

4.- Esto ya para MVP o personal de Microsoft, cuando podemos tener un hotfix
"OFICIAL" por parte de Microsoft a este problema?

Se espera para el próximo martes 10 de enero. De hecho la actualización ya está finalizada y únicamente falta concretar el proceso de localización y de pruebas (bastante intensivas). El resultado que obtenga MS de estas pruebas dictaminarán si la actualización se incluirá en el próximo boletín de enero; aunque todo hace pensar que sí.

Un saludo,
Daniel Martín
Correo electrónico:


"Miguel A." wrote in message news:

Te respondo por partes:

1.- Entiendo que si es problema de la shimgvw.dll - aunque la haya
desregistrado - , si intento abrir la imagen con el Paint u otro Software de
visualizacion de imagenes, el problema sigue existiendo no?

Sí, si abres un fichero WMF (que podría tener extensión .bmp, .jpg, o similar) diseñado para aprovecharse de la vulnerabilidad, podrías ser víctima de un "exploit" malicioso. No hay noticias de que simplemente al recibir un adjunto se sea víctima de la vulnerabilidad, debe haber una "incitación" a visitar un sitio web especialmente preparado o a abrir determinado fichero.

2.- En mi firewall corporativo, he bloqueado las extensiones BMP, DIB, EMF,
GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF. El problema que me
encuentro es que ciertas paginas de bancos, los viculos son imagenes y el
Dep.Financiero no puede trabajar correctamente. Mi pregunta, se ejecuta
algun exploit al seleccionar/pulsar sobre la imagen? o solamente afecta este
bug a los visores de imagenes.

El filtrado de extensiones gráficas no sirve de mucho en este caso. El motor gráfico de visualización de Metafiles en Windows *no* se basa en la extensión del fichero a la hora de manejarlo, por lo que puedes encontrar ficheros de extensión aparentemente inofensiva y no relacionada con el tema gráfico y que sí podrían aprovecharse de la vulnerabilidad.

3.- Que medidas considerais oportunas a tomar en una red corporativa
respecto a este "bug"?

- Tener al día Windows e Internet Explorer.
- Mantener una configuración de seguridad de Internet Explorer posicionada en "nivel medio" o "nivel alto" (igualmente aplicable a otros navegadores de terceros).
- Emplear un antivirus actualizado.
- Acceder a sitios de Internet de una manera prudente.
- Navegar desde una cuenta con los menores privilegios posibles.

Este último punto es importante, la diferencia de impacto de la vulnerabilidad entre un sistema que navegue desde una cuenta administrativa a otro que navegue desde una cuenta casi sin privilegios es bastante grande (comprobado con "exploits" realmente maliciosos que existen en Internet). Ten en cuenta que esta vulnerabilidad está siendo explotada por ciertos troyanos y "adware", pero que sólo obtienen los privilegios del usuario que carga Iexplore.exe (el usuario que ha iniciado sesión); si esa cuenta no dispone de apenas privilegios, la mayor parte de efectos perjudiciales del "adware" o del virus ni se presentarán en el sistema.

4.- Esto ya para MVP o personal de Microsoft, cuando podemos tener un hotfix
"OFICIAL" por parte de Microsoft a este problema?

Se espera para el próximo martes 10 de enero. De hecho la actualización ya está finalizada y únicamente falta concretar el proceso de localización y de pruebas (bastante intensivas). El resultado que obtenga MS de estas pruebas dictaminarán si la actualización se incluirá en el próximo boletín de enero; aunque todo hace pensar que sí.

Un saludo,
Daniel Martín
Correo electrónico:


"Miguel A." wrote in message news:

MUCHAS GRACIAS A TODOS.


"Daniel Martín" escribió en el mensaje
news:u8$
Te respondo por partes:

1.- Entiendo que si es problema de la shimgvw.dll - aunque la haya
desregistrado - , si intento abrir la imagen con el Paint u otro Software
de
visualizacion de imagenes, el problema sigue existiendo no?

Sí, si abres un fichero WMF (que podría tener extensión .bmp, .jpg, o
similar) diseñado para aprovecharse de la vulnerabilidad, podrías ser
víctima de un "exploit" malicioso. No hay noticias de que simplemente al
recibir un adjunto se sea víctima de la vulnerabilidad, debe haber una
"incitación" a visitar un sitio web especialmente preparado o a abrir
determinado fichero.

2.- En mi firewall corporativo, he bloqueado las extensiones BMP, DIB,
EMF,
GIF, ICO, JFIF, JPE, JPEG, JPG, PNG, RLE, TIF, TIFF. El problema que me
encuentro es que ciertas paginas de bancos, los viculos son imagenes y el
Dep.Financiero no puede trabajar correctamente. Mi pregunta, se ejecuta
algun exploit al seleccionar/pulsar sobre la imagen? o solamente afecta
este
bug a los visores de imagenes.

El filtrado de extensiones gráficas no sirve de mucho en este caso. El motor
gráfico de visualización de Metafiles en Windows *no* se basa en la
extensión del fichero a la hora de manejarlo, por lo que puedes encontrar
ficheros de extensión aparentemente inofensiva y no relacionada con el tema
gráfico y que sí podrían aprovecharse de la vulnerabilidad.

3.- Que medidas considerais oportunas a tomar en una red corporativa
respecto a este "bug"?

- Tener al día Windows e Internet Explorer.
- Mantener una configuración de seguridad de Internet Explorer posicionada
en "nivel medio" o "nivel alto" (igualmente aplicable a otros navegadores de
terceros).
- Emplear un antivirus actualizado.
- Acceder a sitios de Internet de una manera prudente.
- Navegar desde una cuenta con los menores privilegios posibles.

Este último punto es importante, la diferencia de impacto de la
vulnerabilidad entre un sistema que navegue desde una cuenta administrativa
a otro que navegue desde una cuenta casi sin privilegios es bastante grande
(comprobado con "exploits" realmente maliciosos que existen en Internet).
Ten en cuenta que esta vulnerabilidad está siendo explotada por ciertos
troyanos y "adware", pero que sólo obtienen los privilegios del usuario que
carga Iexplore.exe (el usuario que ha iniciado sesión); si esa cuenta no
dispone de apenas privilegios, la mayor parte de efectos perjudiciales del
"adware" o del virus ni se presentarán en el sistema.

4.- Esto ya para MVP o personal de Microsoft, cuando podemos tener un
hotfix
"OFICIAL" por parte de Microsoft a este problema?

Se espera para el próximo martes 10 de enero. De hecho la actualización ya
está finalizada y únicamente falta concretar el proceso de localización y de
pruebas (bastante intensivas). El resultado que obtenga MS de estas pruebas
dictaminarán si la actualización se incluirá en el próximo boletín de enero;
aunque todo hace pensar que sí.

Un saludo,
Daniel Martín
Correo electrónico:


"Miguel A." wrote in message
news: