Lotus Notes a chyba ve WMF

03. 01. 2006 20:01 | Kategorie: Lotus Notes | permalink

V tuto chvíli probíhá počítačovým světem vlna článků, diskusí a komentářů o nejnovější chybě ve Windows - zneužití chyby v renderovací proceduře pro WMF ke spuštení nebezpečného kódu (viz Microsoft a US-CERT).

Protože tuto součást využívají kromě Windows také aplikace třetích stran, jedná se opravdu o závažný problém, navíc na něj ještě Microsoft nevydal záplatu. Má být až 10. 1. 2006, podle pravidelného rozvrhu "opravy každé druhé úterý v měsíci".

Není nutno spouštět zádné programy, stačí jenom náhled na "záškodnický" obrázek ve formátu WMF (Windows Meta File) který přijde mailem nebo je umístěn na webové stránce, a při jeho renderování se spustí nežádaný kód.

Týká se to i Notesů, protože i ty umožňují prohlížet WMF přílohy. Pokud použijeme Open, otevře se asociovaný program k této příponě, defaultně Picture and Fax Viewer (shimgvw.dll). Pokud použijeme View, spustí se interní prohlížeč Notesů, který používá stejnou knihovnu. Oba způsoby vedou ke spuštění kódu.

Očekává se, že připravovaný patch opraví nebo odstaví knihovnu shimgvw.dll. Podlě některých rad si můžete zkusit knihovu odstavit sami, příkazem

regsvr32 -u %windir%\system32\shimgvw.dll

podle jiných ale tohle pomůže jen pro Windows a Notesy zůstanou zranitelné dál. Proto Julian Robichaux publikoval postup, jak zamezit otevírání WMF souborů v klientu Lotus Notes. Jedná se o úpravu textového konfiguračního souboru keyview.ini na každé stanici LN, která ochrání otevírání souboru přes View. V reakcích pod článkem je i kód agenta, který tuto změnu provede klientům automaticky.

Osobně jsem u sebe zkusil tento postup, využívající neoficiální, ale prověřené záplaty Windows:

  • Stáhnutí a spuštění checkeru
    •  
     
  • Stáhnutí a spuštění záplaty
    •  
  • Opětovné spuštění checkeru, systém je ochráněn.
    •  
V případě potřeby lze tento neoficiální patch odstranit přes Add/Remove Programs. Autor záplaty doporučuje její odstranění před aplikací oficiální microsoftí záplaty (až bude).

 

Další zdroje: NIST.ORG, neoficiální patch, patch na SANS.ORG, patch a checker na GRC

Doplněno 6. 1. 2006: Microsoft si dal nakonec říct a zveřejnil patch dříve. Je dostupný i přes Windows Update. Odinstaloval jsem tedy neoficiální a nainstaloval ten oficiální.

Předchozí: Redbook: ND7 na Solarisu
Následující: Oprava poškozené databáze