SecuLog

■ISC Handler's Diary: Windows WMF 0-day exploit in the wild

仕事納めの皆さんも多いこの時期だというのに、WindowsのWMF(Windowsメタファイル)形式画像の処理の未発表欠陥を攻略する0 day攻撃が発生しているようですね。

思わず地雷を踏んでしまわれた方のメモはこちら。

• にわか鯖管の苦悩日記: wmfファイルの未知の脆弱性!?

年始対応が今から思いやられるというものですが。

12/29追記:

Microsoft Advisoryが出たようです。

• Microsoft Security Advisory (912840) Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
• マイクロソフト セキュリティ アドバイザリ (912840) Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある

Bleeding Edgeでもシグネチャが出てますね。

• WMF Zero-Day Sigs Posted

ちょっと気になる記述があったのでこちらも、

• ITmedia: 休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性

なお「Internet Explorer以外のWebブラウザを利用する」ことも1つの手だが、SANSの情報によると、たとえFirefoxを利用していても完全に安全というわけではない。Firefoxで攻撃サイトを訪れた場合、Windows標準の画像ビューワー「Windows Picture and Fax Viewer」で画像を開くかどうかを尋ねられ、もしここで「はい」を選択してしまうと、同じように攻撃コードが実行されてしまうという。

さらに付け加えると、WMFの関連付けが「Windows Picture and Fax Viewer」以外になっていたとしても、関連付けられたビューワがWindows標準のライブラリを使用してる場合にはやられてしまいますね。手元ではIrfanViewで再現することを確認しています。

seculogger による 05:32 午後 の書き込み
コメント(13) | トラックバック(0) | Translate (en)