Atualizada! — Foi encontrada uma nova falha no processamento de imagens WMF (Windows metafile) que pode permitir a execução de código malicioso ao se abrir um arquivo WMF a partir de um aplicativo vulnerável, como o Internet Explorer e o Visualizador de Imagens e Fax. Um código foi publicado para explorar a falha no mesmo dia em que a falha foi descoberta — hoje (28/12).

O código para explorar a falha [exploit] está sendo usado na web para instalar spywares como o AVGold. Para ser infectado, basta que o usuário abra uma página maliciosa na web utilizando o Internet Explorer nos Windows XP (inclusive com SP2) e 2003. Não existe confirmação de que a falha afete outras versões do Windows até o momento.

Se o usuário estiver usando Opera ou Firefox e visitar um site malicioso, um prompt para abrir ou salvar a imagem WMF será exibido. Se o usuário clicar em “Abrir” para abrir a imagem, o navegador passará o controle para o Visualizador de Imagens e Fax, que é vulnerável, e o exploit será executado.

É a segunda vez que o formato WMF apresenta problemas. Em novembro desse ano, a Microsoft corrigiu uma falha no formato no único boletim lançado naquele mês, o MS05-053.

De acordo com a Sunbelt Software, a nova falha está sendo explorada por diversos sites de pirataria e pornografia. Uma lista da Sunbelt possui o endereço dos servidores que estão servindo o exploit atualmente. A F-Secure está alertando que é muito fácil ser infectado apenas ao listar um diretório que possua um arquivo WMF infectado.

Como se proteger da falha

Importante: Veja novas informações. O segundo método descrito abaixo pode não funcionar.

Existem, até agora, dois métodos para se proteger da falha. Você deve aplicar pelo menos um até que o patch seja disponibilizado, já que a falha é extremamente grave:

1. Desabilite a DLL SHIMGVW.DLL
   Isso pode causar diversos problemas na visualização de imagens, mas é o modo mais simples e elegante de se proteger. Basta clicar em Iniciar -> Executar e colar o comando:
   REGSVR32 /U SHIMGVW.DLL

   Depois que você aplicar o patch (quando ele for disponibilizado), você deverá executar um comando para ativar a DLL novamente. O comando é esse:

   REGSVR32 SHIMGVW.DLL

   Note que é necessário reiniciar o computador para desativar/ativar a DLL.

2. Retire associação com WMFs
   Essa é a maneira que trará menos conseqüências. Abra Meu computador, clique em Ferramentas e então em Opções de Pasta. Clique em “Tipos de arquivos”. Procure na lista o “WMF” e clique em Alterar. Na lista, selecione o Bloco de Notas e deixe marcado “Usar sempre esse programa para abrir estes arquivos”. Clique em OK e feche as janelas.

Compartilhar |  Imprimir

2 comentários | Falhas