Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 6. januar 2006.
WMF-sårbarheden ligger i Windows' GDI-modul (Graphic Display Interface), der anvendes til at vise grafik. I GDI-modulet findes en funktion ved navn GDI Escape. Den gør det muligt at kalde funktioner uden for GDI-modulet.
Skønt sårbarheden findes i GDI-modulet, er den foreløbig kun set udnyttet i Windows Metafile-filer. Det skyldes, at en Windows Metafile (WMF) er en grafikfil, der består af en serie GDI-kommandoer. Derfor er det let at udnytte sårbarheden ved hjælp af en WMF-fil - angriberen skal blot indføje en skadelig kommando i serien af GDI-kommandoer.
De aktuelle angreb anvender GDI Escape-kommandoen
SETABORTPROC til at afvikle programkode, når WMF-billedet vises. For øjeblikket sker det gennem DLL-filen
SHIMGVW.DLL, som Windows bruger til at vise billeder med. Men da sårbarheden menes at ligge i selve GDI-systemet, kan den ikke fjernes blot ved at fjerne SHIMGVW.DLL. Til gengæld kan man mindske risikoen ved at afregistrere SHIMGVW.DLL i registreringsdatabasen - det medfører, at billeder ikke automatisk vises.
Computere kan blive angrebet via sårbarheden på mindst fire måder:
• Når man åbner en WMF-fil, der udnytter sårbarheden. Den kan være omdøbt til at ende på JPG.
• Når man besøger et websted, der udnytter sårbarheden.
• Når en WMF-fil ligger et sted, hvor den vil blive indekseret af Google Desktop
Search eller andre indekseringsprogrammer.
• Når man bruger Stifinder til at kigge i en mappe, der indeholder en skadelig WMF-fil.
Man kan beskytte sig mod angreb på tre måder:
• Installere den uofficielle programrettelse fra Ilfak Guilfanov, indtil Microsofts rettelse udkommer.
• Afregistrere DLL-filen SHIMGVW.DLL.
• Anvende opdaterede antivirusprogrammer.
