Atualizada! — Foi encontrada uma nova falha no processamento de imagens WMF (Windows metafile) que pode permitir a execução de código malicioso ao se abrir um arquivo WMF a partir de um aplicativo vulnerável, como o Internet Explorer e o Visualizador de Imagens e Fax. Um código foi publicado para explorar a falha no mesmo dia em que a falha foi descoberta — hoje (28/12).

O código para explorar a falha [exploit] está sendo usado na web para instalar spywares como o AVGold. Para ser infectado, basta que o usuário abra uma página maliciosa na web utilizando o Internet Explorer nos Windows XP (inclusive com SP2) e 2003. Não existe confirmação de que a falha afete outras versões do Windows até o momento.

Se o usuário estiver usando Opera ou Firefox e visitar um site malicioso, um prompt para abrir ou salvar a imagem WMF será exibido. Se o usuário clicar em “Abrir” para abrir a imagem, o navegador passará o controle para o Visualizador de Imagens e Fax, que é vulnerável, e o exploit será executado.

É a segunda vez que o formato WMF apresenta problemas. Em novembro desse ano, a Microsoft corrigiu uma falha no formato no único boletim lançado naquele mês, o MS05-053.

De acordo com a Sunbelt Software, a nova falha está sendo explorada por diversos sites de pirataria e pornografia. Uma lista da Sunbelt possui o endereço dos servidores que estão servindo o exploit atualmente. A F-Secure está alertando que é muito fácil ser infectado apenas ao listar um diretório que possua um arquivo WMF infectado.

Como se proteger da falha

Importante: Veja novas informações. O segundo método descrito abaixo pode não funcionar.

Existem, até agora, dois métodos para se proteger da falha. Você deve aplicar pelo menos um até que o patch seja disponibilizado, já que a falha é extremamente grave:

  1. Desabilite a DLL SHIMGVW.DLL
    Isso pode causar diversos problemas na visualização de imagens, mas é o modo mais simples e elegante de se proteger. Basta clicar em Iniciar -> Executar e colar o comando:
    REGSVR32 /U SHIMGVW.DLL

    Depois que você aplicar o patch (quando ele for disponibilizado), você deverá executar um comando para ativar a DLL novamente. O comando é esse:

    REGSVR32 SHIMGVW.DLL

    Note que é necessário reiniciar o computador para desativar/ativar a DLL.

  2. Retire associação com WMFs
    Essa é a maneira que trará menos conseqüências. Abra Meu computador, clique em Ferramentas e então em Opções de Pasta. Clique em “Tipos de arquivos”. Procure na lista o “WMF” e clique em Alterar. Na lista, selecione o Bloco de Notas e deixe marcado “Usar sempre esse programa para abrir estes arquivos”. Clique em OK e feche as janelas.
Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

2 Comments

  1. Apesar de não ter sido comentado, há várias outras opções de visualizadores de “wmf”, como o “Paint” e o “Microsoft Office Picture Manager”, além de programas utilizados por câmeras digitais, os quais não se sabem se são, ou não afetados pelo “exploit”.
    Caso eles não sejam afetados, seria uma opção, ao invés de desabilitar sua visualização.
    Outra dúvida, é quanto ao MSWord, pois sua biblioteca de imagens, por default, utiliza esse padrão de imagem. Então, ao se incluir uma imagem dessa no MSWord significa que poderá contaminar o micro?
    Creio que ainda falta mais informações técnicas para avaliação do problema, bem como de seus efeitos.

    Curtir

  2. Olá, eu queria saber se o Microsoft Office Picture Manager é vulnerável a essa brecha? Pois, como ele é da Microsoft, pode ser que ele também seja afetado. Estou usando o Nero PhotoSnap Viewer, mas não gosto dele, prefiro o original do Windows, ou mesmo o Microsoft Office Manager, mas estou com essa dúvida. Então, após esclarecer minha dúvida eu farei essa troca. Espero que alguém me responda. Obrigado.

    Curtir

Comentários encerrados.