Immagini WMF ancora fonte di guai

Un hacker ha scoperto due nuove vulnerabilitÓ legate all'ormai famigerato formato grafico WMF di Windows. Questa volta il problema sembra di scarso rischio, ma gli esperti invitano a non abbassare la guardia

Roma - A pochi giorni di distanza dalla correzione della ben nota vulnerabilitÓ nel formato WMF (Windows Metafile), un hacker ha segnalato la scoperta di due nuove debolezze di Windows legate allo stesso formato di file grafici.

Secondo questo advisory, apparso sulla mailing-list di sicurezza BugTraq a firma di cocoruder, le nuove vulnerabilitÓ possono causare il crash delle applicazioni che supportano i file WMF: tra quelle integrate in Windows vi sono Internet Explorer, Esplora risorse (explorer.exe), Paint e Visualizzatore di immagini e fax. Questa volta, per fortuna, il problema appare decisamente meno grave del precedente: come spiegato da cocoruder, e sottolineato da Microsoft, le due vulnerabilitÓ possono essere sfruttate esclusivamente per creare file WMF malformati che, una volta aperti, bloccano l'applicazione.

"Questi problemi non consentono ad un aggressore di eseguire del codice o mandare in crash il sistema operativo", ha affermato Lennart Wistrand nel blog del Security Response Center di Microsoft. "Ci˛ che si pu˛ verificare Ŕ il crash dell'applicazione con cui si Ŕ aperto il file WMF: in questo caso l'utente pu˛ riavviare l'applicazione e riprendere il proprio lavoro".
Wistrand ha anche detto che Microsoft era giÓ a conoscenza di queste vulnerabilitÓ, tuttavia ha preferito dare la prioritÓ alla correzione della ben pi¨ critica falla descritta nel recente bollettino MS06-001. Il big di Redmond starebbe valutando la possibilitÓ di integrare la patch nei prossimi service pack o update rollup.

Fra la comunitÓ di esperti di sicurezza c'Ŕ chi invita a non abbassare la guardia. Secondo William Salusky, dell'Internet Storm Center, "l'esperienza insegna che dove c'Ŕ una vulnerabilitÓ di tipo denial-of-service Ŕ molto probabile che vi sia anche una vulnerabilitÓ che consente l'esecuzione di codice". Ci˛ significa che le due falle scoperte da cocoruder potrebbero rivelarsi meno innocue di quanto appaiono: se questo Ŕ il caso, lo si verrÓ a sapere molto presto.

Com'Ŕ successo in passato con altri componenti di Windows, tra i quali l'RPC (Remote Procedure Call), gli occhi dei cracker sono puntati sul Graphics Rendering Engine di Microsoft e sul relativo codice che gestisce le immagini WMF: gli esperti temono che nei prossimi mesi emergano altre vulnerabilitÓ legate al formato grafico vettoriale di Windows. Del resto non va dimenticato come la falla corretta dalla patch MS06-001 sia stata preceduta, a novembre, dalla correzione di altre tre vulnerabilitÓ nei formati WMF e EMF (Enhanced Metafile).

Mikko Hypponen, CEO di F-Secure, ha fatto notare come il formato WMF sia stato sviluppato da Microsoft verso la fine degli anni '80, e incluso per la prima volta in Windows 3.0 (nel 1990). "All'epoca nessuno progettava le applicazioni non mission-critical tenendo conto del fattore sicurezza", ha detto Hypponen. Debby Fry Wilson, director del Security Response Center di Microsoft, ha aggiunto che la recente vulnerabilitÓ critica di WMF non Ŕ causata da un classico buffer overflow, ma da una legittima funzionalitÓ del software che i cracker sono riusciti a sfruttare in modo non previsto.
TAG: sicurezza
28 Commenti alla Notizia Immagini WMF ancora fonte di guai
Ordina
  • In questo articolo si dimostra, numeri e
    statistiche alla mano, che negli ultimi anni
    la media per patchare vulnerabilità critiche
    da parte della ms è di 134 giorni, mentre
    per "full disclosure" flaws scende a *soli*
    46 giorni

    http://blogs.washingtonpost.com/securityfix/2006/0...

    Intanto i tentativi di mettere in sicurezza i
    colabrodi della ms fanno spendere a paesi
    come il ns centinaia di milioni di euro l'anno
    tra pubblico e privato e la mediocre
    affidabilità pone grossi problemi a tutte le
    aziende mondo del lavoro

    Intanto gli infocrimini conseguenti
    provocano enormi danni economici
    tutti i giorni, grazie alla disponibilita' di
    macchine windows zombi a milioni


    Grazie zio bill, dopotutto se esistono ancora
    tanti mononeurosauri che usano le tue fetecchie, non è certo colpa tua
    non+autenticato

  • - Scritto da: Anonimo
    > In questo articolo si dimostra, numeri e
    > statistiche alla mano, che negli ultimi anni
    > la media per patchare vulnerabilità critiche
    > da parte della ms è di 134 giorni, mentre
    > per "full disclosure" flaws scende a *soli*
    > 46 giorni

    Evidentemente non sono gravi o non si conoscono exploit.
    Ogni mese Microsoft rilascia patch mensili, quindi non si capisce per quale motivo non dovrebbe patchare quelle da 134 giorni.
    non+autenticato
  • Questa volta si tratta solo di un bug, non ci sono guai.
    non+autenticato

  • - Scritto da: Anonimo
    > Questa volta si tratta solo di un bug, non ci
    > sono guai.

    quoto in toto.
    non+autenticato


  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Questa volta si tratta solo di un bug, non ci
    > > sono guai.
    >
    > quoto in toto.

    ah si, voi winari siete abituati ai programmi che crashano vero?A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > ah si, voi winari siete abituati ai programmi che
    > crashano vero?A bocca aperta

    crashano se non li usi come dovrebbero essere usati, inserire codice in un WMF non è un uso corretto.
    non+autenticato

  • - Scritto da: Anonimo
    > Questa volta si tratta solo di un bug, non ci
    > sono guai.

    I crash sono guai, sempre.
    non+autenticato

  • - Scritto da: Anonimo
    > I crash sono guai, sempre.

    si.. si...
    non+autenticato
  • Come programmatore, certe cose mi fano riflettere:

    Mi ricollego al "bug" di WMF.
    Come e' possibile che un tipo di file destinato a raccogliere metadati e fondamentalmente utilizzato per grafica vettoriale o bitmap diventi portatore di eseguibili ?

    Beh, questo e' molto facile. Informaticamente parlando si puo' "estendere" il file appiccicandoci quello che si vuole senza che nessuno se ne accorga. E questo si puo' fare con quasi tutti i tipi di file conosciuti senza che risulti pericoloso per nessuno, in quanto nessun loader individua e lancia un eseguibile inoculato in un file.

    ..A meno che questa feature non sia stata espressamente prevista...

    Evidentemente alla Microsoft qualcuno ha pensato che la possibilita' di eseguire codice nascosto nell'immagine di topolino aperta col browser avrebbe potuto avere un senso. E io di sensi ne vedo tanti, ma tutti molto, molto negativi.
    non+autenticato
  • > Evidentemente alla Microsoft qualcuno ha pensato
    > che la possibilita' di eseguire codice nascosto
    > nell'immagine di topolino aperta col browser
    > avrebbe potuto avere un senso.

    Oppure:

    [...Mikko Hypponen, CEO di F-Secure, ha fatto notare come il formato WMF sia stato sviluppato da Microsoft verso la fine degli anni '80, e incluso per la prima volta in Windows 3.0 (nel 1990). "All'epoca nessuno progettava le applicazioni non mission-critical tenendo conto del fattore sicurezza", ha detto Hypponen....]
    non+autenticato
  • Quindi mi confermi che l'intenzione malevola ha radici lontane.

    Pseudo codice anni '80 di WMF loader:

    1) executable e = wmf.getExecutableAttachment();
    2) e.start();

    Non so a te, ma a me viene da ridere.

    Mi spieghi a cosa serve tale "feature" in un file spacciato per multimediale ?

    Questa non e' tecnologia e non e' innovazione.
    non+autenticato

  • Non sono quello di sopra, però aggiungerei che queste "feature" sono state ereditate fino a windows 2003, passando per 98 e Xp pure sp2.
    Ma allora ci stanno spacciando codice del 1980 come "innovativo" senza nemmeno rivederlo ed adeguarlo a standard di sicurezza accettabili, nonostante tutte le strombazzate fatte sulla "attenta revisione del codice in chiave sicurezza".
    Ok che quando è stato sviluppato nel 1980 non si parlava di windows mission critical, ma adesso su windows 2003 server direi che questo è tassativo.
    Quante altre parti di codice non adeguato allo standard attuale si nascone nell'antiquariato ereditato dai software Microsoft attuali ?
    Sicuramente ci penserei ben poco a non mettere MAI un software Microsoft in mission critical, i fatti dimostrano che non hanno la capacità di gestire e garantire la sicurezza che però ci promettono e ci fanno pagare.


    - Scritto da: Anonimo
    > Quindi mi confermi che l'intenzione malevola ha
    > radici lontane.
    >
    > Pseudo codice anni '80 di WMF loader:
    >
    > 1) executable e = wmf.getExecutableAttachment();
    > 2) e.start();
    >
    > Non so a te, ma a me viene da ridere.
    >
    > Mi spieghi a cosa serve tale "feature" in un file
    > spacciato per multimediale ?
    >
    > Questa non e' tecnologia e non e' innovazione.
  • >>"Sicuramente ci penserei ben poco a non mettere MAI un software Microsoft in mission critical, i fatti dimostrano che non hanno la capacità di gestire e garantire la sicurezza che però ci promettono e ci fanno pagare."

    Santissime parole, concordo appieno!Occhiolino
    Per applicazioni mission-critical di fatto consiglio SEMPRE ambienti *NIX (unix/linux) che garantiscono in ogni condizione stabilità, efficienza ed affidabilità a breve/lungo termine..

    Purtroppo la Microsoft continua con la sua filosofia perversa: quella di acclamare alla nuova tecnologia appena sfornata di loro creazione, facendo delle mere operazioni di scopiazzatura o marketing (acquisendo qui e là proprietà fisiche ed intellettuali di terze parti, SEMPRE con il cattivo gusto - una volta ottenute queste proprietà - di non renderle ottimali ma di ..abbruttirle e rovinarle, una volta in mano loro)

    non+autenticato
  • M$ è il cesso informatico
    non+autenticato
  • Il fatto veramente grave e' che tutta questa abbondanza di falle sembra avere motivazioni funzionali ben specifiche e altrettanto definite.

    Senza scendere troppo nella fantapolitica, che ne dite della possibilita' di poter eseguire codice DI NASCOSTO su una qualsiasi macchina Win dal 1980 in poi ?

    Questa e' una grande espressione del potere e del controllo. Meditiamo insieme, amici.

    Quello che mi risulta ancora piu' strano, per non dire fastidioso e' che nessuna mente illuminata, non solo a livello governativo ma anche di semplice associazione consumatori, abbia messo in evidenza un fatto cosi' grave.
    non+autenticato
  • ...Purtroppo di esempi di potere e controllo ce ne sono in tutti gli ambiti ...Figurati se associazioni, di parte e non, che in qualche maniera contribuiscono anche se in maniera minima ad alimentare l'universale legge della gestione e del controllo di massa, si mettono a sollevare questioni che fanno comodo pure a loro no?
    non+autenticato

  • - Scritto da: Anonimo
    > Come programmatore, certe cose mi fano riflettere:
    >
    > Mi ricollego al "bug" di WMF.
    > Come e' possibile che un tipo di file destinato a
    > raccogliere metadati e fondamentalmente
    > utilizzato per grafica vettoriale o bitmap
    > diventi portatore di eseguibili ?
    >
    > Beh, questo e' molto facile. Informaticamente
    > parlando si puo' "estendere" il file
    > appiccicandoci quello che si vuole senza che
    > nessuno se ne accorga. E questo si puo' fare con
    > quasi tutti i tipi di file conosciuti senza che
    > risulti pericoloso per nessuno, in quanto nessun
    > loader individua e lancia un eseguibile inoculato
    > in un file.
    >
    > ..A meno che questa feature non sia stata
    > espressamente prevista...
    >
    > Evidentemente alla Microsoft qualcuno ha pensato
    > che la possibilita' di eseguire codice nascosto
    > nell'immagine di topolino aperta col browser
    > avrebbe potuto avere un senso. E io di sensi ne
    > vedo tanti, ma tutti molto, molto negativi.


    Forse perchè...
    (http://www.f-secure.com/weblog/archives/archive-01...)
    What exactly is going wrong with the WMF vulnerability?

    Turns out this is not really a bug, it's just bad design. Design from another era.

    When Windows Metafiles were designed in late 1980s, a feature was included that allowed the image files to contain actual code. This code would be executed via a callback in special situations. This was not a bug; this was something which was needed at the time.

    The feature now in the limelight is known as the Escape() function and especially the SetAbortProc subfunction.

    Microsoft documentation

    [b]This function was designed to be called by Windows if a print job needed to be canceled during spooling.
    [/b]

    This really means two things:
    1) There are probably other vulnerable functions in WMF files in addition to SetAbortProc
    2) This bug seems to affect all versions of Windows, starting from Windows 3.0 - shipped in 1990!

    "The WMF vulnerability" probably affects more computers than any other security vulnerability, ever.
    non+autenticato
  • Ah, si, i vecchi cari "side effects"...

    Mi ricordano tanto storie di bombe ed effetti collaterali.

    Gia' me la immagino la scenetta del management R&D:

    - Oh, mi raccomando: Lo spooler deve essere ucciso. Costi quel che costi! Piuttosto inoculate le immagini con un exe!
    non+autenticato

  • Bello che Microsoft abbia dichiarato che "intanto causano solo attacchi DoS che al limite possono far crashare l'applicazione".

    Si sono già dimenticati che l'ultima volta che la pensavano così, poi 6 mesi dopo è venuto fuori l'exploit che permetteva di eseguire anche codice da remoto (gestione javascript di explorer).
    Ed un problema "da niente" è diventato la seconda vulnerabilità più critica di windows nel 2005.

    http://punto-informatico.it/p.asp?i=56396
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Bello che Microsoft abbia dichiarato che "intanto
    > causano solo attacchi DoS che al limite possono
    > far crashare l'applicazione".
    >
    > Si sono già dimenticati che l'ultima volta che la
    > pensavano così, poi 6 mesi dopo è venuto fuori
    > l'exploit che permetteva di eseguire anche codice
    > da remoto (gestione javascript di explorer).
    > Ed un problema "da niente" è diventato la seconda
    > vulnerabilità più critica di windows nel 2005.


    E' meglio che stai zitto perchè anche in Firefox 1.5 è dall'8 dicembre che è stata scoperta una falla nella cronologia che secondo chi l'ha scoperta dovrebbe consentire anche l'esecuzione di codice da remoto, ma che Mozilla e secunia hanno minimizzato
    http://secunia.com/advisories/17934/

    non+autenticato
  • La differenza è che firefox è usato dal 10% come browser, l'engine di WMF dall'80% di quelli che hanno un Pc acceso.
    Ce la fai a vedere la differenza ?
    Poi il crasch di firefox non trascina il s.o. in crisi, mentre un rendering vettoriale intimamente inglobato nel s.o. non so se è sufficientemente isolato da non metterlo in crisi.



    - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > Bello che Microsoft abbia dichiarato che
    > "intanto
    > > causano solo attacchi DoS che al limite possono
    > > far crashare l'applicazione".
    > >
    > > Si sono già dimenticati che l'ultima volta che
    > la
    > > pensavano così, poi 6 mesi dopo è venuto fuori
    > > l'exploit che permetteva di eseguire anche
    > codice
    > > da remoto (gestione javascript di explorer).
    > > Ed un problema "da niente" è diventato la
    > seconda
    > > vulnerabilità più critica di windows nel 2005.
    >
    >
    > E' meglio che stai zitto perchè anche in Firefox
    > 1.5 è dall'8 dicembre che è stata scoperta una
    > falla nella cronologia che secondo chi l'ha
    > scoperta dovrebbe consentire anche l'esecuzione
    > di codice da remoto, ma che Mozilla e secunia
    > hanno minimizzato
    > http://secunia.com/advisories/17934/
    >
    non+autenticato

  • - Scritto da: Anonimo
    > Poi il crasch di firefox non trascina il s.o. in
    > crisi, mentre un rendering vettoriale intimamente
    > inglobato nel s.o. non so se è sufficientemente
    > isolato da non metterlo in crisi.

    perchè invece di parlare non provi a guardarti un wmf vulnerabile? Vedrai che ti si chiude la cartella o il programma che usavi per vederlo e non tutto il sistema operativo.
    non+autenticato

  • - Scritto da: Anonimo
    > La differenza è che firefox è usato dal 10% come
    > browser, l'engine di WMF dall'80% di quelli che
    > hanno un Pc acceso.
    > Ce la fai a vedere la differenza ?

    quindi siccome è usato dal 10% non rilasciamo la patch anche se c'è un pericolo di esecuzione di codice da remoto? Complimentoni!
    non+autenticato
  • L'engine del rendering grafico gestore dei formati vettoriali wmf è diffuso sul 80% dei so attualmente installati, tutti i windows da 3.00 a 2k3.
    Questo fa la differenza della pericolosità delle vulnerabilità.
    Riferendomi alla precedente, lascia basiti il vedere che a parità di vulnerabilità Microsoft la dichiara critica da W2k in poi mentre non è classificabile come tale su w95, 98 e Me.
    Vuol dire che i s.o. più recenti di casa Microsoft sono anche intrinsecamente meno robusti, visto che sono più esposti a parità di vulnerabilità ?
    Questo l'ho notato su molte delle vulnerabilità recenti, classificate come critiche solo da w2k in poi.
    Ma come mai l'ultimo sistema operativo, il "più sicuro mai realizzato" ha dei difetti ancora più gravi dei suoi "superati" predecessori ?
    A cosa serve allora tutto lo sbandieramento di investimenti ed impegni sulla sicurezza se poi scopriamo che lo stesso componente viene utilizzato, senza rivedere in chiave critica le sue funzionalità attive, dalla bellezza di 15 anni ?
    E come funzionano i moderni strumenti di debug dei codici se su una dll appena ricompilata escono ancora due DoS, che dovrebbero essere stati intercettati ?
    Chi è che controlla una dll di 300kb prima di deliberarla ?
    A pensar male si fa peccato, ma molte volte ci si azzecca !!!

  • - Scritto da: lalla63
    > L'engine ............

    ma parla come magni.
    non+autenticato
  • - Scritto da: Anonimo

    > - Scritto da: lalla63
    > > L'engine ............
    > ma parla come magni.

    Ma che ne sai del suo aulico modo di nutrirsi ???
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)