Patch KAV per Windows Meta File (WMF)!!

[nV 25]

http://www.kaspersky.com/faq?qid=176830011

Quote:

Originariamente inviato da andorra24

.. la patch consente la scansione di files con estensione .wmf da parte dell'antivirus sia in real time che in modalita' on demand. Pochi giorni fa e' uscita una falla in windows xp (sia con sp1 che sp2) e anche in windows 2003. Il codice nocivo sfrutta una vulnerabilità nel motore di rendering grafico WMF di Windows per scaricare e installare sul computer attaccato malware e trojans.

KAV personal
KAV Pro

[andorra24]

Ottima segnalazione nV. Ho appena visto il thread aperto da don pelotas su wilderssecurity che annunciava questa patch.

[nV 25]

Quote:

Originariamente inviato da andorra24

Ho appena visto il thread aperto da don pelotas su wilderssecurity che annunciava questa patch.

infatti, ero incerto se postarla e alla fine mi sono deciso....

PS: sei contenta? Hanno aperto sempre su Wilders il supporto ufficiale ad Ewido, un programma che se non sbaglio ami? ...
http://www.wilderssecurity.com/forumdisplay.php?f=80

[andorra24]

Quote:

Originariamente inviato da nV 25

infatti, ero incerto se postarla e alla fine mi sono deciso....

PS: sei contenta? Hanno aperto sempre su Wilders il supporto ufficiale ad Ewido, un programma che se non sbaglio ami? ...
http://www.wilderssecurity.com/forumdisplay.php?f=80

Si ho visto che hanno aperto la sezione ufficiale di ewido su wilderssecurity. Hanno fatto benissimo a sistemarsi su wilders perche' li' avranno un'ottima visibilita' vista l'importanza di quel forum. C'era gia' un forum di ewido su CastleCops.com ma non e' ufficiale.

[andorra24]

Quote:

Originariamente inviato da dany7

A che serve questa patch?

Nel link postato da nV 25 c'e' tutta la spiegazione su questa patch. In poche parole la patch consente la scansione di files con estensione .wmf da parte dell'antivirus sia in real time che in modalita' on demand. Pochi giorni fa e' uscita una falla in windows xp (sia con sp1 che sp2) e anche in windows 2003. Il codice nocivo sfrutta una vulnerabilità nel motore di rendering grafico WMF di Windows per scaricare e installare sul computer attaccato malware e trojans.

[pistolino]

Quote:

Originariamente inviato da andorra24

Nel link postato da nV 25 c'e' tutta la spiegazione su questa patch. In poche parole la patch consente la scansione di files con estensione .wmf da parte dell'antivirus sia in real time che in modalita' on demand. Pochi giorni fa e' uscita una falla in windows xp (sia con sp1 che sp2) e anche in windows 2003. Il codice nocivo sfrutta una vulnerabilità nel motore di rendering grafico WMF di Windows per scaricare e installare sul computer attaccato malware e trojans.

spero che anche la symantec intervenga in qualche modo

NV, grazie per la segnalazione anche da parte mia

Quote:

Originariamente inviato da pistolino

spero che anche la symantec intervenga in qualche modo

....me lo auguro per te

[kuoppamaki]

grazie per l'informazione sulla patch,qualcuno e' riuscito ad installarla? io uso kaspersky personal 5.0.388 e non ci sono riuscito..ho letto le istruzioni sul sito di kaspersky e mi dice che dopo aver lanciato la patch devo cliccare su accetta(come per tutti i programmi) ma quando io lancio la patch parte l'installazione,ma dopo 1 secondo sparisce tutto e non mi rimanda alla schermata dove devo accettare i termini ma mi fa ritornare con l'immagine sul desktop..qualcuno saprebbe aiutarmi?ho fatto la scansione antivirus sia sul pc che online e mi risulta tutto pulito..non saprei proprio dove andare a parare..grazie a tutti,ciao e auguri

[nV 25]

Quote:

Originariamente inviato da kuoppamaki

grazie per l'informazione sulla patch,qualcuno e' riuscito ad installarla? io uso kaspersky personal 5.0.388 e non ci sono riuscito..ho letto le istruzioni sul sito di kaspersky e mi dice che dopo aver lanciato la patch devo cliccare su accetta(come per tutti i programmi) ma quando io lancio la patch parte l'installazione,ma dopo 1 secondo sparisce tutto e non mi rimanda alla schermata dove devo accettare i termini ma mi fa ritornare con l'immagine sul desktop..qualcuno saprebbe aiutarmi?ho fatto la scansione antivirus sia sul pc che online e mi risulta tutto pulito..non saprei proprio dove andare a parare..grazie a tutti,ciao e auguri

l'unica cosa che mi può venire in mente è questa:
ma sei loggato con i diritti di amministratore?

"You need the local administrator rights to run it, otherwise the program displays a message in English informing that the patch cannot be run"...

[kuoppamaki]

ciao nV 25 mi puoi spiegare meglio per favore?non credo di aver capito cosa intendi..ciao

[nV 25]

Quote:

Originariamente inviato da kuoppamaki

ciao nV 25 mi puoi spiegare meglio per favore?non credo di aver capito cosa intendi..ciao

in sostanza devi assicurarti che quando entri in Windows tu sia amministratore di sistema, quindi con tutti i privilegi che dicendono da un accesso di questo tipo e che, come ovvio, sono decisamente maggiori rispetto a quelli concessi ad un utente "guest" ( ospite).
Questo semplice articolo [ Link ] spiega meglio il concetto di guest/amministratore.

Quando fai il Log-in, allora, lo devi fare con la USER & PASS dell'amministratore...

[pistolino]

Quote:

Originariamente inviato da Ferdy78

....me lo auguro per te

è intervenuta
norton mi ha appena scaricato una regola euristica che rileva i codici exploit dei file WMF dannosi

[kuoppamaki]

si,uso il mio pc come amministratore,e non come guest,per cui dovrei avere tutti i privilegi che ne conseguono..ma questa maledetta patch non si installa..

[kuoppamaki]

grazie ancora,sono riuscito a scoprire l'arcano..il mio norton personal firewall mi bloccava l'applicazione della patch..adesso tutto ok..grazie a tutti auguroni

[bigbeat]

Quote:

Originariamente inviato da pistolino

è intervenuta
norton mi ha appena scaricato una regola euristica che rileva i codici exploit dei file WMF dannosi

Aspettando la patch ufficiale della Microsoft che tappi quest'ennessima falla critica sù XP potresti dirmi il nome esatto della regola da te menzionata e come l'hai scaricata (LiveUpdate?).
Grazie...

[bigbeat]

UP...

[bigbeat]

Ah si,ho capito,la regola euristica di cui parli è questa:

http://www.symantec.com/avcenter/ven...xploit.56.html

[eliogolf]

ehm,siccome quella patch è per la versione 5,io ho la versione 6.0.0.251 ( non a), devo mettere la versione nuova o la 6 già la ha incorporata la patch?

[nothinghr]

Ho trovato questa news a proprosito di una patch non ufficiale che ha preceduto quella microsft che verrà rilasciata il 10 gennaio a quanto pare:

Falla WMF: Patchare o Aspettare?

Nonostante Microsoft abbia già promesso il rilascio di un patch ufficiale per la vulnerabilità di Windows relativa ai files WMF che sta mettendo in questi giorni a rischio di attacchi exploit milioni di utenti della rete, F-Secure e Internet Storm Center, due aziende specializzate in sicurezza, incoraggiano utenti e aziende ad applicare la patch non ufficiale temporanea già disponibile in rete.

Bisognerà infatti aspettare ancora una settimana prima d poter installare la patch ufficiale di Microsoft, già sviluppata ma attualmente in fase di testing. Una versione pre-release di questa patch a quanto pare è già trapelata in rete su un forum dedicato alla sicurezza, lo riporta Mike Reavey del Microsoft Security Response Center su blog ufficiale del Team. Ovviamente Microsoft invita gli utenti ad non installare questa versione potenzialmente instabile ed a fare riferimento al Security Advisory 912840 per le novità sul problema di sicurezza. Microsoft, inoltre sconsiglia di installare patch non ufficiali realizzate da terzi, come regola generale. Questo perchè non ne può garantire qualità e compatibilità.

Mikko Hypponen, director della antivirus research presso F-Secure, ha affermato che le aziende possono ritenere sicura la patch non ufficiale creata da Ilfak Guilfanov, autore del famoso IDA (Interactive Disassembler Pro) e uno dei maggiori esperti di “low-level Windows” al mondo. L'Internet Storm Center ha ammesso che molte aziende potranno essere sicuramente restie ad installare un patch non ufficiale sui loro sistemi, ma ha evidenziato la necessita di effettuare al più presto l'aggiornamento preventivo.

ZDnet News ha pubblicato una galleria di siti web nei quali è presente il codice di attacco exploit alla vulnerabilità WMF. SANS Internet Storm Center ha pubblicato invece un FAQ dedicata al problema di sicurezza WMF, disponibile anche in traduzione in lingua italiana. -> WMF FAQ in italiano


Nel frattempo il blog di Ilfak Guilfanov, nel quale era stata resa disponile la patch non ufficiale, è andato off-line a causa dell'elevato traffico di rete. Guilfanov ha creato un sito web temporaneo in cui fornisce vari links mirrors alla patch http://216.227.222.95/

Dalla FAQ del SANS Internet Storm Center (traduzione italiana di Andrea Pescetti)

Come funziona la patch non ufficiale? In ogni processo che carica user32.dll viene "iniettata" wmhotfix.dll, che modifica in memoria la funzione Escape() di gdi32.dll in modo che essa ignori tutte le chiamate che utilizzano il parametro SETABORTPROC (0x09). Questo dovrebbe impedire l'attacco ma consentire ai programmi Windows di mostrare normalmente i file WMF. La versione della patch disponibile sul sito di SANS è stata verificata con il codice sorgente messo a disposizione e testata con tutte le varianti note dell'attacco. Dovrebbe funzionare su Windows XP (anche con SP1 o SP2) e con Windows 2000.

E se io annullassi solo la registrazione della DLL, senza usare la patch non ufficiale?
Potrebbe essere comunque d'aiuto, ma non è una soluzione sicura al 100%: la DLL può essere registrata di nuovo da codice maligno o da normali installazioni, e può succedere che ri-registrare la DLL su un sistema attivo che ha subito un attacco non andato a buon fine possa innescare tale attacco. Inoltre potrebbero esserci altri modi di chiamare la funzione Escape() di gdi32.dll. Finché non verrà messa a disposizione una patch da Microsoft, consigliamo di usare la patch non ufficiale oltre ad annullare la registrazione di shimgvw.dll.

Che ne dite?