Microsoft vydá oficiální záplatu na problém s WMF až 10. ledna

Tuhle hysterii okolo WMF nechapu. Jiste, utocnici ji mohou zneuzit pomoci specialne upravenych stranek ci e-mailovych priloh, ale to vyzaduje kooperaci uzivatele (navsteva warezovych sajt, otevreni zavadne prilohy).

Stejne - jak casto jste na webu setkali s WMF nebo vlastne JAKYMKOLIV vektorovym formatem? Vsude samej GIF a JPG, v lepsim pripade PNG. O pouziti SVG na webu (Scalable Vector Graphics) se pise uz snad 3 roky a skutek utek (a stale v nedohlednu). Bezny uzivatel se pri brouzdani na _beznych_ strankach VUBEC nema sanci k vektorovym obrazkum dostat, natoz pak k tem nebezpecnym. Tim spis, ze WMF je ciste Windowsacky format.

"Tuhle hysterii okolo WMF nechapu."

Pochopíte, až si přečtete více informací:
http://ptomes.blog.cz/0601/kriticka-bezpecnostni-chyba-windows-wmf-hrozi-globalni-utok

Hehe, ze nema sanci. Ja som si otvoril schranku na inmail.sk a par mailov a uz na mna vyskakovali WMF.

A tiez:

I downloaded some of the exploit creation tools for this vulnerability
and they are incredible!

You run the program with a .wmf file and your compiled object file (the code you want it to run) as parameters, and you get a .wmf file.

I created one with code that displays a dialog telling me that the code is running, and tried several different scenarios to make it run.

I sent myself an IM with the file in it, and the code ran. I opened a Word document with the file in it, and the code ran. I put it in a web page, and the code ran when I viewed the page (no link to click on, or anything!) I inserted the image inline in an email; the code ran when I opened it. The worst case: I downloaded it from my server via FTP ***FROM A DOS PROMPT*** and the code ran automatically (Google desktop search triggered it!)

This has so many vectors of entry onto a system that it is almost unbelievable!!

Take your time with the patch, MS!! Maybe enough systems will go down that we will all get a break from zombie-bot spam for a few days!

No jestli je pravda je polovina z toho textu, co jste sem pastnul, tak to fakt neni sranda. Ja mam nastesti vsechny tyhlety "chytre" samospoustece vseho mozneho vypnute, vsechny formy IM nesnasim a nepouzivam (rusi od prace), zadne e-mailove klienty nemam (vzdy jen webove rozhrani) a GDS coby spionsky program bych si v zivote nenainstaloval, ale ted uz chapu rozsah ohrozeni pro "normalni" uzivatele.

Kazdopadne diky za objasneni!

A este George Ou pise:

For safety purposes, I ran the test from a VMWare Windows XP SP2 guest. The virtual machine was fully patched with Windows XP SP2 and the registry was modified as Mr. Athias suggested yet it was completely trashed by spyware. The spyware infections were so nasty that I had to completely destroy and rebuild eight virtual Windows XP machines to verify the results.

By now, you've probably heard of the unofficial WMF Vulnerability patch by programming genius Ilfak Guilfanov. Some experts say install it now! Others say you better wait till next week for the official patch from Microsoft. Since I've spent a good part of New Years day weekend researching and testing this bug, I would tell you that this vulnerability is so dangerous that you better install the unofficial patch now and then uninstall it when the official Microsoft patch is hopefully released next week.

http://www.eset.com/about/press.htm#media

http://www.eset.cz/wmf 

To se ve vlastnim kodu nevyznaj? Nebo spis ani neni jejich vlastni? Metoda pokus-omyl v ostrym provozu? Docasne opatreni radeji nepouzivat? A neni to Microsoft? Jo, to pak jo...

Nemuzou od toho DDLka najit zdrojaky

sorry preklep, DLLka, samozrejme!

On Tuesday, December 27, 2005, Microsoft became aware of public reports of malicious attacks on some customers involving a previously unknown security vulnerability in the Windows Meta File (WMF) code area in the Windows platform.
Upon learning of the attacks, Microsoft mobilized under its Software Security Incident Response Process (SSIRP) to analyze the attack, assess its scope, define an engineering plan, and determine the appropriate guidance for customers, as well as to engage with anti-virus partners and law enforcement.
Microsoft confirmed the technical details of the attack on December 28, 2005 and immediately began developing a security update for the WMF vulnerability on an expedited track.
Microsoft has completed development of the security update for the vulnerability. The security update is now being localized and tested to ensure quality and application compatibility. Microsoft’s goal is to release the update on Tuesday, January 10, 2006, as part of its monthly release of security bulletins. This release is predicated on successful completion of quality testing.
The update will be released worldwide simultaneously in 23 languages for all affected versions of Windows once it passes a series of rigorous testing procedures. It will be available on Microsoft’s Download Center, as well as through Microsoft Update and Windows Update. Customers who use Windows’ Automatic Updates feature will be delivered the fix automatically.
Based on strong customer feedback, all Microsoft’s security updates must pass a series of quality tests, including testing by third parties, to assure customers that they can be deployed effectively in all languages and for all versions of the Windows platform with minimum down time.
Microsoft has been carefully monitoring the attempted exploitation of the WMF vulnerability since it became public last week, through its own forensic capabilities and through partnerships within the industry and law enforcement. Although the issue is serious and malicious attacks are being attempted, Microsoft’s intelligence sources indicate that the attacks are limited in scope and are not widespread.
In addition, anti-virus companies indicate that attacks based on exploiting the WMF vulnerability are being effectively mitigated through up-to-date signatures.
Více zde http://www.microsoft.com/technet/security/advisory/912840.mspx
 

..no tak holt do 10.1. nezapnu PC....ghííí...-)...

Ano - to jsme prave u toho . Musim se smat, az se za bricho popadam !
Neschopnost reagovat rychle na aktualni situaci se u uzavreneho softwaru obvykle maskuje zvasty o dukladnem testovani patche. Pritom spousta techto chyb spociva napr. v tom, ze neni hlidana mez nejakeho pole - naprava = par radku kodu.
Bavim se take pri pomysleni, ze takovy patch je treba tzv. lokalizovat do 23 jazyku. To svet nevidel a pes to nezral Ja tedy na normalnich OS stahuji patche, ktere jsou nezavisle na narodnim prostredi (pokud tedy zrovna nejde o nejake opravy, souvisejici primo s preklady). Nechapu, proc by patch pro muj OS mel byt vydavan pro 23 jazyku.
Astore, kde jsi, kde je te konec. V jinem foru pindas o tom, jak jsou Windows 4x bezpecnejsi a tady, kde se probira primo ukazkovy pripad demagogicnosti takoveho tvrzeni, tady ani nepipnes. Rad bych znal tve "vedecke" zduvodneni tech pozoruhodnych rozporu.

Divil by ses, ale každou opravu musí kromě MS otestovat i přední společnosti a výrobci SW. Ono je hezký rychle vyřešit záplatou nějaký problém, a pak se divit, že X aplikací jiných výrobců přestalo chodit. Na koho pak budou lidi nadávat? Na tvůrce té aplikace? To asi těžko ...

Jedna věc je kvalita opravy a druhá věc jsou lživé sliby o okamžitých/velmi rychlých reakcích výrobce na chyby, zejména ty extrémně kritické, potažmo i stanoviska výrobce zlehčující dopady chyby.

http://ptomes.blog.cz/0512/kriticka-bezpecnostni-chyba-windows-cas-bezi-proti-microsoftu

Je lepší riskovat napadení několika málo strojů, protože se zneužitím dané chyby se nepotká příliš velké procento uživatelů, než riskovat znefunkčnění všech chybnou záplatou ... 

"protože se zneužitím dané chyby se nepotká příliš velké procento uživatelů"

Mýlíte se. Se sneužitím dané chyby s v následujících dnech může reálně setkat několik desítek procent uživatelů PC/Windows, což by mělo výrazný globální (negativní) dopad. Záplaty nabídlo již asi 5-10 společností/institucí včetně Microsoftu (neoficiální) a neustále je vylepšují a nevypadá to, že by to výrazně negativně ovlivnilo uživatele - minimálně ještě po dobu jednoho týdne, kdy nebude vydána oficiální záplata od MS.

http://ptomes.blog.cz/0601/kriticka-bezpecnostni-chyba-windows-wmf-hrozi-globalni-utok

Těch několik desítek procent je trochu přestřel, ale budiž, může být. Nicméně u tohoto problému je také nutná určitá forma uživatelské spolupráce a pokud jsou uživatelé natolik nezodpovědní, že používají PC bez zabezpečení, je to jejich věc. Mimochodem, většina antivirových společností na tento problém reagovala již před koncem roku (kolem 28.12.2005) ... 

Mimochodem, řada známých antivirů detekuje jen zlomek známých virů/červů/trojských koní vázaných na tuto chybu a ani u těch nejlepších nelze předpokládat zcela 100% úspěšnost:
http://sunbeltblog.blogspot.com/2006/01/how-good-is-your-av-program-at.html

To je prave mozna jeden ze stezejnich problemu teto platformy - vsechno souvisi se vsim, vse je neprehledne, vse je jako cerna skrinka. Neni duvodu, aby trivialni oprava (s nejvetsi pravdepodobnosti se o ni jedna i v tomto pripade, protoze tyto chyby obvykle nejsou nicim jinym nez nejakym pretecenim bufferu, celeho cisla atd...) mela vliv na aplikace tretich stran.
No, nema smysl tady porad o tom zvanit. Pravdou je, ze uzivatele tohoto OS jsou vystaveni znacnemu riziku a mnoha z nich takoveto situace zrejme vyhovuji, kdyz to jeste haji.

Jde vidět jaký vtom mají v Patlálasoftu bordel že ani neví co to udělá když něco opraví a jestli náhodou neotevře další díru.

pane boze to je zvast !!! oprava spociva v trivialni oprave par radku kodu
co na to chteji tyden testovat ?

Můžeš nám zabedněncům, co používáme Windows, udělat tu laskavost a vypsat sem těch pár řádek, když máš tak detailní informace a tolik do toho vidíš?

Je legrace, kdyz se na tomto Webu v jinem clanku doctu blabol, ze pry Windows jsou 4x bezpecnejsi :)
Tedy to uzivatelum toho 4x bezpecnejsiho OS fakt nezavidim, kdyz na opravu tak fatalniho problemu museji cekat jeste tyden...
Jak se rika, kdo chce kam, pomozme mu tam. Obdivuji tu viru fanklubu Otce Internetu.

Bez si vymackat bedary.

Bedary ?
Ty uz jsem 20 let nemel, chlapecku.

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to zdálo jen nám

Je to jejich systém, tak ať si klidně uvolní záplaty až na svatého Dyndy. Třeba si pak lidi více rozmyslí, kupovat ten jejich zázračný OS

humus

niet k tomu co dodat...

Co se ti nezda? Ze oficialni zaplatu je treba otestovat nebo ze se nedoporuci zaplatu od nekoho jineho, kterou nemaji duvod testovat?

Treba se M$ boji, ze by ta neof. zaplata mohla zpusobit necekanou bezpecnost systemu :)

jj to je tak jedine ceho se MS boji... Vyvojari by stratili moznost pracovat na dalsich mnoha zaplatach ktere resi zaplatu zaplaty ktera resila zranitelnost predchozi zaplaty ktera vznikla pri zaplatovani zranitelnosti ktera byla prehlednuta pri testovani SP2 ktery opravoval mnoho predchozich bugu a zranitelnosti.....

*nepodepisi pod

Klid, hosi v MS to videj ruzove... http://i.microsoft.com/h/cs-CZ/i/onas_security.gif

Tos mě dostal

Tos mě dostal

Hell, pardon za zdvojení. Viděl jsem chybu, tak jsem to odmáčkl znova.

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to nezdálo jen nám

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to zdálo jen nám

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to zdálo jen nám

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to zdálo jen nám

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to zdálo jen nám

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to zdálo jen nám

Tak to se nám Microsoft zase předvedl. Jestli tohle má být ten nejbezpečnější operační systém na světě tak to potěš...
Právě SANS institut "nevydržel čekání" a dal k dispozici vlastní neoficiální záplatu pro tuto chybu. Tuto neoficiální záplatu však Mirosoft nedoporučuje používat.
Řada odborníků však Microsoft kritizuje a považuje podobné zdržení při uvolnění takto kritické záplaty za neomluvitelné. Kdyby se to zdálo jen nám