{"id":502,"date":"2006-01-01T22:14:23","date_gmt":"2006-01-01T20:14:23","guid":{"rendered":"http:\/\/www.sahw.com\/wp\/?p=502"},"modified":"2006-01-02T16:42:49","modified_gmt":"2006-01-02T14:42:49","slug":"parche-no-oficial-sobre-wmf-ultimas-consideraciones","status":"publish","type":"post","link":"https:\/\/www.sahw.com\/wp\/2006\/01\/01\/parche-no-oficial-sobre-wmf-ultimas-consideraciones\/","title":{"rendered":"Parche no oficial sobre WMF. ?ltimas consideraciones"},"content":{"rendered":"

Feliz a?o a todos :)<\/p>\n

Sobre el problema de tratamiento de ficheros .WMF<\/a> del que llevamos hablando varios d?as, tenemos a d?a de hoy algunas novedades.<\/p>\n

En Hispasec publicamos antes de ayer<\/a> algunas consideraciones al respecto, como la actualizaci?n del bolet?n por parte de Microsoft, entre otras. Hoy, el ISC del SANS<\/a>, vuelve a publicar una actualizaci?n con informaci?n importante.<\/p>\n

Por un lado, ofrecen una lista de bloqueos recomendados<\/a>. Adem?s, nos informan de la disponibilidad de un parche no oficial<\/a>, programado por Ilfak Guilfanov (tiene guasa que Microsoft no se haya mojado a estas alturas). Este parche, descargable aqu?<\/a>, est? dando buenos resultados cuando es aplicado tras desregistrar la DLL que est? originando los problemas. Por otro lado, se puede ver c?mo act?a el exploit en este v?deo<\/a>, el cual es bastante instructivo.<\/p>\n

A los usuarios, recomendarles que desregistren la DLL problem?tica, y que parcheen con el parche no oficial. <\/strong>Es algo imperativo, ya que el n?mero de m?quinas activas es creciente<\/a>, y la cosa no tiene visos de ir a menos. Para desregistrar la DLL shimgvw.dll, la sinaxis a ejecutar (men? Inicio –> ejecutar) ser?a la siguiente:<\/p>\n

regsvr32 -u %directorio_de_instalaci?n_windows%\\system32\\shimgvw.dll <\/p><\/blockquote>\n

Por ejemplo, si el directorio de instalaci?n es c:\\windows, la sintaxis ser?a<\/p>\n

regsvr32 -u c:\\windows\\system32\\shimgvw.dll<\/p><\/blockquote>\n

Una vez resregistrada la DLL, simplemente basta con instalar el parche. <\/a> Cuando aparezca el parche oficial, habr? que volver a registrar la DLL y desinstalar el parche.<\/p>\n

Saludos, y precauci?n. Y Feliz 2006 :)<\/p>\n

UPDATE (2 enero):<\/strong> Empiezan a causar estragos los ataques dirigidos por correo. M?s informaci?n en F-Secure<\/a>, en Blog Laboratorio<\/a> y en \u00abuna-al-dia\u00bb<\/a>.<\/p>\n

Cito a Bernardo<\/a>, al hilo de las nuevas formas de ataque:<\/p>\n

Esta vez el problema pinta peor, se trata de un nuevo exploit de la vulnerabilidad WMF que ha sido enviado de forma masiva<\/strong>, a modo de spam, y que se presenta bajo el nombre de \u00abHappyNewYear.jpg\u00bb. Si, la extensi?n real es JPG, un formato que hasta la fecha cualquiera considerar?a confiable. Pero la vulnerabilidad WMF pone en cuarentena cualquier formato gr?fico, ahora ha sido JPG, ma?ana puede ser presentarse un exploit bajo GIF, BMP, etc.<\/p><\/blockquote>\n

UPDATE (1 enero): <\/strong>Publicada utilidad<\/a> que verifica si somos o no vulnerables ante el ataque. Pero l?ase con cautela lo que su autor nos dice:<\/strong><\/p>\n

Do not use this check as a definite answer to the WMF vulnerability question. <\/strong>But if your system was vulnerable, it should be invulnerable after installing the hotfix and display the second dialog box. In other words you can use this checker as a means to verify that the hotfix is doing its job. One more word of caution: do not forget to reboot your computer after the installation. If you do not reboot it, the checker will tell you that the system is invulnerable while some systme processes will still be.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Feliz a?o a todos :) Sobre el problema de tratamiento de ficheros .WMF del que llevamos hablando varios d?as, tenemos a d?a de hoy algunas novedades. En Hispasec publicamos antes de ayer algunas consideraciones al respecto, como la actualizaci?n del bolet?n por parte de Microsoft, entre otras. Hoy, el ISC Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16,3],"tags":[],"class_list":["post-502","post","type-post","status-publish","format-standard","hentry","category-malware","category-seguridad"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=502"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/502\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}