NOD32 надежно защищает от WMF-уязвимости

Компания Eset сообщает о том, что антивирусное ПО NOD32 надежно защищает пользователей от уязвимости графической подсистемы Windows при обработке файлов типа Windows Metafile (WMF). Эта уязвимость имеет статус критической и в первую очередь касается систем Microsoft Windows XP, Microsoft Windows XP Professional x 64 Edition, Microsoft Windows Server 2003, а также Microsoft Windows 98, Microsoft Windows 98 SE, и Windows Millennium. Однако в том или ином виде проблема может присутствовать во всех версиях системы Windows, выпущенных начиная с версии 3.0.

Разработанные Майкрософт форматы Windows Metafile (WMF), а также Enchanced Metafile (EMF), позволяющие хранить изображение в виде последовательности команд, приводящих к воспроизведению изображения на экране, привлекали внимание хакеров довольно давно. Еще в ноябре 2005 г. ими была найдена серьезная уязвимость этого формата, принадлежавшая к классическому типу "атак на переполнение буфера". Данная уязвимость, приводившая к возможности исполнения нежелательного кода, также имела статус критической, однако, по утверждению Майкрософт, относилась только к системам класса NT (Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003), исключая Microsoft Windows 98 и Microsoft Windows Millennium Edition.

Дальнейшие исследования в этой области привели к обнаружению документированной, хотя и позабытой, возможности использовать один из устаревших, однако вполне действующих вызовов Windows API для сохранения в теле метафайла произвольного программного кода. Код исполнялся в некоторых специальных ситуациях.

Вскоре после этого появились и автономные версии вирусов, распространявшихся в виде почтовых червей, пересылавшихся в прикрепленных к письму файлах изображений. Просмотр изображения, содержавшегося в письме, приводил к активации червя; при этом многие программы просмотра (в первую очередь – стандартные средства просмотра Windows) корректно распознавали формат wmf по бинарному содержимому изображения, что позволяло разработчикам вредоносного программного обеспечения использовать и другие расширения помимо wmf (например, более привычные gif или jpeg). Таким образом, потенциальная опасность для пользователя возникала как при посещении специально сформированной интернет-страницы, так и при локальном открытии изображения, содержащего вирус.

Важная особенность данной уязвимости в том, что угроза заражения системы существует не только при открытии файла, содержащего вредоносный код, но также и при исполнении следующих действий:

• простой просмотр содержимого папки Windows XP, в которой находится данное изображение (при этом режим предварительного просмотра (preview) может даже быть отключен);
• использование диалога открытия файла приложения Microsoft Office, например, при вставке файла в документ Microsoft Word;
• просмотр свойств данного изображения.

Компания Microsoft отреагировала на уязвимость, выпустив 28-го декабря "совет по безопасности" (Security Advisory) 912840, в котором признавала существование проблемы и обещала решить ее до 10 января. В итоге патч был выпущен Microsoft 6 января, за несколько дней до ранее объявленного срока.

Антивирусная лаборатория Eset отреагировала на угрозу одной из первых. Ее продукт NOD32 наряду с программным обеспечением компаний, среди которых: Symantec, Panda, McAfee, Alwil Software (Avast), F-Secure Inc. и другие — смогли идентифицировать все 73 угрозы, о чем свидетельствуют результаты испытаний, проводенных независимой тестовой лабораторией AV-Test:

На сегодняшний день компанией Microsoft выпущено необходимое исправление только для версий систем Microsoft Windows XP, Microsoft Windows 2000 (Service Pack 4) и Microsoft Windows Server 2003. Что же касается остальных версий семейства, то, предположительно, обновление от Microsoft будет доступно для них несколько позже.

Оригинальный пресс-релиз.