Vent på oss, sier Microsoft

Vent på oss, sier Microsoft

Microsoft-rettelsen for sårbarheten i Windows metafiler kommer først om en uke, og selskapet advarer nå mot uoffisielle rettelser. Imens øker risikoen.

Neste tirsdag kommer Microsofts retting for den mye omtalte sårbarheten i Windows. Sikkerhetshullet er såpass alvorlig at norske Norman har gått så langt som å anbefale alle brukere å ikke laste ned et eneste bilde fra nettet, før feilen er rettet.

Feilen gjelder hvordan de ulike versjonene av Windows håndterer grafikk i formatet WMF (Windows Metafile). Når en utsatt datamaskin åpner en slik fil som er "tuklet med", vil den kunne bli tvunget til å eksekvere destruktiv programkode.

Microsoft publiserte sin første advarsel om feilen 28. desember, dagen etter at den først ble observert. I går kom meldingen om at en rettelse er ferdig utviklet. Denne skal nå testes grundig før den publiseres neste tirsdag. Microsoft erfarte flere ganger i høst å publisere rettelser som fort ble hacket og krevde nye oppdateringer.

Økt risiko

Microsoft presiserer at selskapet ikke kan gå god for rettelser publisert av tredjeparter.

Antallet brukere som kan være utsatt for dene virusen er stort, siden feilen rammer alle versjoner av Windows. Det skal likevel være få som er rammet så langt

Men forskningslaben til sikkerhetsselskapet McAfee rapporterte tirsdag at 7,45 prosent av brukere av selskapets konsumentprodukter har blitt smittet av destruktiv programkode gjennom sårbarheten i WMF så langt.

Og risikoen øker jo lengre maskinene ikke blir oppdatert med en rettelse. Jay Heiser i analyseselskapet Gartner sier til IDG News at risikoen kan være meget stor dersom noen klarer å utnytte sårbarheten i betydelig grad.

- Dette blir et kappløp mellom Microsoft og miljøene som prøver å utytte sårbarheten, sier han.

En måned

I følge sikkerhetseksperter i firmaet Websense ble nettsteder der sårbarheten blir utnyttet, obervert 27. desember, men de skal ha vært aktive allerede 14. desember. I så fall vil det gå nesten en hel måned fra en slik sårbarhet først blir utnyttet til det foreligger en rettelse fra Microsoft.

Selskapet har forelått å redusere risikoen ved å deaktivere en berørt del av operativsystemet, shimgvw.dll. En bivirkning av dette er imidlertid at Windows Picture and Fax Viewer ikke vil fungere normalt. Det hevdes også at Windows Explorer da ikke kan vise miniatyrer av digitale bilder.

Uavhengig fiks

Men en uavhengig programmerer, Ilfak Guilfanov, skal ha utviklet en uoffisiell rettelse som bare tar hånd om funksjonaliteten som er blir forsøkt utnyttet, uten at det går utover andre grafikkfunksjoner i Windows.

Denne rettelsen fikk raskt støtte fra andre sikkerhetseksperter, som det anerkjente SANS Institute's Internet Storm Center (ISC) og finske F-Secure.

F-Secure sier de har kontrollert koden, og går god for den.

- Vi har installert den på alle våre datamaskiner, sier Mikko Hypponen, sikkerhetssjef i F-Secure til IDG News.

Skeptisk

Et annet sikkerhetsselskap, Sophos, er mer skeptisk og anbefaler ikke å bruke koden fra Guilfanov.

En av grunnene til det er at faren med sårbarheten i WMF er at filene kan være noe annet enn hva de gir seg ut for. Vanligvis vil WMF-filer vises med filnavnet .wmf, men i det tilfellet har noen angripere valgt å døpe om disse filene ved å gi dem et annet filnavn, for eksempel .jpg.

Dette er mulig fordi motoren som beandler grafikk i Windows vil forsøke å identifisere grafiske filer etter innhold, og ikke navn.

Et eksempel er filen "happynewyear.jpg" som begynte å sirkulere på nettet nyttårsaften. Når denne ble åpnet på en Windows-maskin, forsøkte filen å laste ned en bakdør kalt Bifrose. Sophos anbefaler derfor å være varsom, bare oppsøke velkjente nettsteder og holde antivirusprogamvaren oppdatert, i påvente av Microsofts rettelse som altså ikke kommer før neste tirsdag.

Les alt om Microsofts wmf-svakhet.