2ちゃんねる旅行記【速報】ﾌｫﾙﾀﾞを開いたらｻﾖｳﾅﾗ　最強のｳｨﾙｽ誕生【回避パッチ】

【速報】ﾌｫﾙﾀﾞを開いたらｻﾖｳﾅﾗ　最強のｳｨﾙｽ誕生【回避パッチ】

0 ： 名無しさん＠時効です：2006/01/01(日) 23:18:11: 有志によるパッチが出来たそうです。
パッチは確かにあるようですが、私は試していません。試すつもりもありません。
自己責任で使用してください。
一番正確なのはMicrosoftの正式な回避パッチを待つことです。
※私は鑑定していませんよ。
（1/3追記：ウイルスが出現したのでパッチを当てることにしました。）
（SANS Instituteが再配布しているパッチは同じものです）

【ｹﾝｼﾛｳ】ﾌｫﾙﾀﾞを開いたらｻﾖｳﾅﾗ　最強のｳｨﾙｽ誕生【お前はすでに(ry】
【速報】ﾌｫﾙﾀﾞを開いたらｻﾖｳﾅﾗ　最強のｳｨﾙｽ誕生【回避パッチ】
■Windows脆弱性に関する追加情報

！注意！有志のパッチは高い頻度で更新されています。
先ほどまで"Ver.11"をリンクしていましたが、今は"Ver.14"です。（Ver.13はWin2kSP4にも対応したパッチです。Ver.12を当てた人はそのままで大丈夫です。）

【JPG見たら】フォルダを開いたらサヨウナラ　最強の脆弱性誕生６【死んでいる】879 名前：番組の途中ですが名無しです[] 投稿日：2006/01/01(日) 19:44:58 ID:I03TNtGa0
>>873
http://www.hexblog.com/2005/12/wmf_vuln.html
にある
http://www.hexblog.com/security/files/wmffix_hexblog14.exe
をいれる

俺も入れたけど>>28のメモ帳とか電卓とかちゃんと起動しなくなるよ
起動しなくてもウイルスバスターが反応するけどw

900 名前：番組の途中ですが名無しです[] 投稿日：2006/01/01(日) 20:40:38 ID:I03TNtGa0
>>882
確かにかなり凄い人みたいだよ

http://www.f-secure.com/weblog/より抜粋
Now, we wouldn't normally blog about a security patch that is not coming
from the original vendor. But Ilfak Guilfanov isn't just anybody. He's the main
author of IDA (Interactive Disassembler Pro) and is arguably one of the best
low-level Windows experts in the world.

921 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/01(日) 22:14:47 ID:zkhbQ37i0
>>910
海外の評判は良いようだから人注になってみたけど、
少なくとも脆弱性は完全に無くなったみたいだ。
バッファオーバーランを完全に防いでるようで、
ウィルス対策ソフトを切ってFAXビューアでwmfを見ても何も起こらない。

927 名前：番組の途中ですが名無しです[] 投稿日：2006/01/01(日) 22:51:40 ID:ohDGRf5D0
>>910を入れてみた
画像踏んでも、画像は表示されないでバスターのウィルス警告だけ出た。
ウィルス隔離フォルダにも隔離されてないので、保存すらされてないと思われ

940 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/01(日) 23:15:36 ID:Wohq71S80
>>933
危なければ再ｲﾝｽｺって事で入れてみた。
ｱﾝﾁｳｨﾙｽｿﾌﾄ切って検証用ファイルをクリックしても電卓、メモ帳が開かなくなった。
簡単な対策って事でkerioも入れてみたけど、これ切っても全然何も無かった。

でも怖ければ安全なのが証明されるまで待ってみてもいいかも。
少し怖い。

【XPなど複数のWindows OSに深刻な脆弱性】 2kが最高のOS695 名前：689[] 投稿日：2006/01/01(日) 02:47:41 ID:I03TNtGa0
Windows WMF Metafile Vulnerability HotFix
This week a new vulnerability was found in Windows:

http://www.microsoft.com/technet/security/advisory/912840.mspx

Browsing the web was not safe anymore, regardless of the browser.
Microsoft will certainly come up with a thouroughly tested fix for it in the future,
but meanwhile I developed a temporary fix - I badly needed it.

The fix does not remove any functionality from the system, all pictures will continue
to be visible. You can download it here:

http://www.hexblog.com/security/files/wmffix_hexblog.exe

信憑性高いと思うが・・・

697 名前：番組の途中ですが名無しです[] 投稿日：2006/01/01(日) 02:57:32 ID:BNzATfSM0
>>695
信憑性云々ではないのですよ。

追記
"2ちゃんねる"で他にも転載がありましたが、各自で覗いてみてください。
・改良版検証ファイル
・別の有志が製作した回避パッチ（12/31）

以下は転載ですが、参考程度にお願いします。（パッチを"推奨"とまでは言えませんし、どういう仕組みなのか分かるように）

パッチについて　技術的な解釈
742 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 01:34:37 ID:6NVvPHtW0
http://news19.2ch.net/test/read.cgi/news/1135974078/984

これ書いたのですが、ちょっと、勘違いがありました。
今回の脆弱性の「根幹」は、shimgvw.dll ではないようです。
基本的なグラフィックスを扱う GDI32.DLL に脆弱性があるみたいです（？）。
MS からのアドバイザリで、regsvr32 -u %windir%\system32\shimgvw.dll するように
書かれていますが、これが有効なのは、windows meta file の関連付けが、
デフォルトの windows Pictures and Fax Viewrer に設定されている場合に限定されるようです。
また、ttp://www.hexblog.com/2005/12/wmf_vuln.html のパッチは、GDI32.DLL にパッチを
あてているようです。

＃↑そんなの当たり前だと思われるかもしれません。。。

743 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 01:39:51 ID:6NVvPHtW0
>>742 の続き
GDI32.DLL は、基本的なグラフィック処理を担当しているので、無効にわけにはいかないので、
MS のアドバイザリでは、shimgvw.dll を無効化する方法を紹介したのだと思います。

さて、dependency walker で、IrfanView を見ましたが、shimgvw.dll はリンクされていません。
shimgvw.dll をどうにかしても、GDI32.DLL を使用する IrfanView などで
windows meta file を表示すれば脆弱性が発生するようです。

http://news19.2ch.net/test/read.cgi/news/1135974078/984
984 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 00:19:04 ID:6NVvPHtW0
まとめページに
　shimgvw.dllのアクセスコントロール変更して
　読み込み不可にしても回避出来ない
と書いてあるけど、NTFS の場合、アクセス権をread/write拒否設定することで、
DLLが使われなりました。
具体的には、jpg ファイルを右クリックして windows Pictures and Fax Viewrer を選択すると、
エラーダイアログが出て、「～shimgvw.dll を読み込み中にエラーが発生しました。」
と出るようになりました。
windows保護機能も、アクセス権は、見ていないようで、元に戻らないようです。

に書いた方法でアクセス権を拒否にし、VB2006 を無効にした状態で電卓が起動するかどうかテストしました。
（１）関連付けが windows Pictures and Fax Viewer の場合、電卓は起動しませんでした。
　　　（shimgvw.dll へのアクセスが拒否されたというエラーが発生）
（２）関連付けが IrfanView の場合、電卓が起動しました。

したがって、GDI32.DLL を使用して windows meta file を表示するアプリケーションは
脆弱性を持つといえるのではないでしょうか。

745 名前：番組の途中ですが名無しです[] 投稿日：2006/01/02(月) 01:44:29 ID:6NVvPHtW0
>>743 の続き
ttp://www.hexblog.com/2005/12/wmf_vuln.html のパッチは、GDI32.DLL にパッチを
当てているので、本質的にこの問題を解決しているといえると思います。

ただし、オフィシャルパッチでないので、自己責任というのが付きまといますが、根本的に
解決できるのは、このパッチ以外なさそうですね。

すくなくとも、windows meta file の関連付けは IrfanView などにはしない方が無難だと
思います。

747 名前：番組の途中ですが名無しです[] 投稿日：2006/01/02(月) 01:50:33 ID:Fldx+lZH0
>>745
GDI32.dllにパッチされてる証拠は？バージョンとハッシュ晒してみろ。
「みたいです。ようです。」とか適当なこと言ったりデタラメ撒き散らすなよ。

748 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 01:58:09 ID:/o49Ol2n0
なあ、パッチって当てても更新日時変わらないっけ？
GDI32.DLLを見たけど2005年10月6日なんだが。
サイズは273 KB (280,064 バイト)
これまでのWindowsUpdateを全部当ててまだ非公式パッチを充ててない奴は比較してみて欲しい

あとGDI32.DLLの場所は\Windows\system32で良いよな？
パッチを当てたら
・wmfhotfix.dll
・wpa.dbl
・nvapps.xml
が追加されていた

753 名前：あまた ◆GOKvPKrEQ. [] 投稿日：2006/01/02(月) 02:18:03 ID:PR/fwU5e0 ?
>>748
112 名前：番組の途中ですが名無しです[sage] 投稿日：2005/12/31(土) 08:55:04 ID:N7HavPhn0
デバッガで追っかけてたら不正コード呼び出しの位置を見つけたので
インチキだけどそこを飛ばして勝手に回避patch作ってみた。
ttp://up.viploader.net/mini/src/viploader2144.zip.html
セーフモードで起動して
%systemroot%\system32\gdi32.dll
をバックアップして上のzipの中身と入れ替え。
とりあえず手元のxpsp1では電卓やらメモ帳は起動しなくなって
普通の画像は見られてるけど、あくまで自己責任でどうぞ。
早く正式パッチ出るといいけど…

116 名前：番組の途中ですが名無しです[] 投稿日：2005/12/31(土) 09:04:54 ID:o/avV9D/0
>>112
念のため手持ちのgdi.dllとバイナリ比較

c:\>fc /b gdi32.dll GDI32_patch.dll
ファイル gdi32.dll と GDI32_PATCH.DLL を比較しています
00024739: FF 90
0002473A: D0 90

2バイトnopにしてあるだけだから大丈夫そう。疑ってｽﾏｿ。

既に作っている人がいるので、確実ですかな

758 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 02:27:24 ID:6NVvPHtW0
>>747
証拠ですが、ttp://www.hexblog.com/2005/12/wmf_vuln.html に英語で書かれています。
-----------------------------------------------------------------------------
ttp://www.hexblog.com/security/files/wmffix_hexblog13.exe

It should work for Windows 2000, XP 32-bit, XP 64-bit, and Windows Server 2003.

Technical details: this is a DLL which gets injected to all processes loading user32.dll.
It patches the Escape() function in gdi32.dll.
-----------------------------------------------------------------------------
この最後の文です。バージョンは 1.3。
あと、「みたいです。ようです。」という語尾が気に障ったらごめんなさい。伝聞系でしか
かけないので、どうしてもそうなってしまうのです。

771 名前：番組の途中ですが名無しです[] 投稿日：2006/01/02(月) 02:52:24 ID:qx8LS3kR0
http://isc.sans.org/diary.php?rss&storyid=996
これ読んでいい加減暫定パッチを信じるのが良いだろ
全部読めない奴は
↓だけ読んどけ
We have very carefully scrutinized this patch. It does only what is advertised,
it is reversible, and, in our opinion, it is both safe and effective.

772 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 02:54:29 ID:/o49Ol2n0
>>753
1.1から1.3にアップデートしてみたけどやっぱりGDI32.DLLは全く更新されていないようだ
>>758は「GDI32.DLLのEscape()を修理する」って意味だから、vipperロダにあるそのパッチはバッファオーバーフローしてる部分を強引に直したgdi32.DLLで、
hexblogの奴はEscape()の処理をwmfhotfix.dllにやらせることで回避してるらしい。

深刻な脆弱性を直すために非公式パッチを入れるか、
非公式パッチに仕掛けが無いかと恐れて脆弱性を放っておくか。

俺はいきなり電卓やメモ帳以外のexeが起動したら怖いから公式パッチが出るまでこのパッチを入れ続ける事にするよ

776 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 03:02:08 ID:6NVvPHtW0
>>748
このパッチは、GDI32.DLL を直接変更しているわけではないようです。
DLL インジェクションという標準的な手法で、GDI32.DLL へのリクエストを横取りして
自分のDLL で処理をさせているようです。
このことは、ttp://www.hexblog.com/2005/12/wmf_vuln.html の他者コメントの
「Ok, I'll see how to prepare an MSI package (never tried before).」から始まる文に
書かれています。そこには、レジストリ HKLM\～\Windows\AppInit_DLLs を変更
していると書かれています。この AppInit_DLLs の説明は、下記のURLです。
ttp://www.higaitaisaku.com/appinitdlls.html
なお、このDLL インジェクションを悪用するウィルスもすでに存在しているそうです。

779 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/02(月) 03:04:57 ID:6NVvPHtW0
>>776
URL間違えました。ごめんなさい。。。さっきから間違えばかりだ。。。。

×　ttp://www.higaitaisaku.com/appinitdlls.html
○　ttp://www.geocities.jp/i96815/windows/win08.html

なお、両方とも、グーグルで「AppInit_DLLs」で検索すると出てくるURLです。
TB ：痛いニュース(ﾉ∀`) ：2006/01/03(火) 05:04:20 Windowsの脆弱性を突く画像ファイルが出現: 1 名前：依頼579＠おいすー( ^ω^)φ ★[] 投稿日：2006/01/02(月) 23:34:56 ID:???0 ? Windowsの脆弱性を突く新しい画像ファイルが出現，メールで送られてくる場合もメールの件名は「Happy New Year」で，添付されているファイルの名前は「HappyNewYear.jpg」。この...
トラックバックURL:http://amatanoyo.blog16.fc2.com/tb.php/141-d3149a54

100 KB? [ FC2が運営している超格安料金レンタルサーバー ]

新着レスの表示

TOPに戻る上に戻るコメント(0) トラックバック(1) 名前： E-mail：

管理者にだけ表示を許可する
ﾄﾘｯﾌﾟ：