2ちゃんねる旅行記【最新情報】Microsoft、1/10にUpdate【被害にあったときの映像】

【最新情報】Microsoft、1/10にUpdate【被害にあったときの映像】

0 ： 名無しさん＠時効です：2006/01/03(火) 16:25:35: Websense Security Labs Blog
http://www.websensesecuritylabs.com/blog/

Below is an attached video of a machine being infected with all the
components. As you can see several pieces of Potentially Unwanted
Software (P.U.S) are installed and by simply viewing the MWF image
you are infected without a prompt or warning screen.

This is an example of how P.U.S. (AKA "Greyware") vendors are using
known and unknown exploits combined with deception to install code.

http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv

やられたマシンの動画みつけた
((((;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
※個人的に思ったのですが、この映像にあるurlって存在するのでしょうかね？
　何も情報はありませんが、絶対に行かないでください。そしてこのurlには注意してください。

■Microsoft公式発表　更新
Microsoft Security Advisory (912840)
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft has completed development of the security update for the
vulnerability. The security update is now being localized and tested to
ensure quality and application compatibility. Microsoft’s goal is to
release the update on Tuesday, January 10, 2006, as part of its monthly
release of security bulletins. This release is predicated on successful
completion of quality testing.

>release the update on Tuesday, January 10, 2006

ITPro　メールに関する最新情報
「狙いを絞った“メール攻撃”を確認，Windowsの脆弱性を突く画像ファイルを添付」---F-Secure
具体的には，送信者名は「tommy＠security.state.gov」，件名は「Confidential」。本文には「Attached is the digital map for you. You should meet that man at those points seperately. Delete the map thereafter. Good luck. Tommy」と記されている。添付ファイル名は「map.wmf」。このファイルを回避策を施していないパソコン（shimgvw.dllを無効にしていないパソコンなど）で開くと，被害に遭う可能性がある。

Blogのまとめ情報はこちらから

その他こまかな情報↓

412 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/03(火) 15:50:12 ID:CXXfgvvf0
windows meta file についてググってみたことを徒然に

wmf は、描画を行う WINAPI GDI ファンクションのリストを含んでいる。たとえば、
POLYPOLYGON とかは、ポリゴン描画のAPI。また、ポリゴン描画のための点の位置などの
データも wmf ファイルに含まれており、GDI32.DLLは、このAPI 番号とデータを読み取って、
ベクトル描画を行う。それで、APIには番号がついていて Borland C++ Builder の場合、
wingdi.h で定義されている。
　　#define META_POLYPOLYGON 0x0538
というように。

今回の脆弱性では、ESCAPE という WINAPI が使用された。
ttp://msdn.microsoft.com/library/default.asp?url=/library/en-us/gdi/prntspol_0d6b.asp
この ESCAPE は、さらにサブコマンド（escape functions）がいくつか登録されており、
そのうちの SETABORTPROC が脆弱性を持っている。MSのURLに書かれているとおり
SETABORTPROC は古い仕様であり現在は互換性のために残されているが、今でも
動いてしまう。

424 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/03(火) 16:03:10 ID:CXXfgvvf0
>>412 の続き

GDI32.DLL は、画面描画だけでなくプリンタ印刷なども行うことが出来る。
SETABORTPROC は、プリンタ印刷などのときに、途中でアボートしたときに呼び出す
関数を指定したいときに使用するコマンド。
SETABORTPROC の引数として、印字がアボートしたときに呼び出す関数を
渡すようになっている。（wmf ファイルの中で引数としてどんなデータをどのように
SETABORTPROC に渡すのが通常の仕様なのかはわからなかった）

今回の脆弱性は、おそらく、この SETABORTPROC へ不正なデータを渡すことで
発生するようだ。

なお、wmf ファイルに含まれるリストを表示するフリープログラムがあったので、紹介します。
ttp://www.companionsoftware.com/PR/WMRC/index.html#Metafile%20Listing%20Utilities
の LISTWMF.EXE です。電卓やメモ帳起動のwmf をリストすると、SETABORTPROC のところ
まで表示され、その後エラーになりました。つまり、壊れたwmfファイルだということだと思います。

426 名前：番組の途中ですが名無しです[sage] 投稿日：2006/01/03(火) 16:06:46 ID:CXXfgvvf0
>>424

GV などで電卓が起動しなかったのは、GV が自前で wmf ファイルの中身の形式を確認してから
処理するからかもしれません。ということは、IrfanView や windows Pictures and Fax Viewer は、
中身をちゃんと確かめずに wmf ファイルを表示しようとして電卓が動いてしまったのかも
しれません。
TB ：痛いニュース(ﾉ∀`) ：2006/01/03(火) 20:08:57 Windowsの脆弱性を突く画像ファイルが出現: 1 名前：依頼579＠おいすー( ^ω^)φ ★[] 投稿日：2006/01/02(月) 23:34:56 ID:???0 ? Windowsの脆弱性を突く新しい画像ファイルが出現，メールで送られてくる場合もメールの件名は「Happy New Year」で，添付されているファイルの名前は「HappyNewYear.jpg」。この...
トラックバックURL:http://amatanoyo.blog16.fc2.com/tb.php/146-286f5aad

100 KB? [ FC2が運営している超格安料金レンタルサーバー ]

新着レスの表示

TOPに戻る上に戻るコメント(0) トラックバック(1) 名前： E-mail：

管理者にだけ表示を許可する
ﾄﾘｯﾌﾟ：