"Nie czekajcie na Microsoft - łatajcie się sami!"

Do uruchomienia exploita może dojść w sytuacji, gdy użytkownik wchodzi na stronę WWW, w której kodzie znajduje się odwołanie do odpowiednio spreparowanego pliku WMF - może być to również JPEG, GIF lub inny plik graficzny, któremu złośliwy użytkownik zmienił rozszerzenie.

Pracownicy Instytutu SANS zachęcają do instalowania nieoficjalnego patcha: dostępny jest on pod tym adresem - http://www.hexblog.com/2005/12/wmf_vuln.html. Ich apel spowodowany został falą cyberataków wykorzystujących wspomnianą dziurę - wykryto m.in. krążące po Sieci wiadomości e-mail zatytułowanie "happy new year", z dołączonym plikiem graficznym "HappyNewYear.jpg", będącym tak naprawdę spreparowanym plikiem WMF. Mimo iż plik posiada rozszerzenie JPEG, Windows rozpoznaje jego zawartość jako WMF i przystępuje do wykonywania zawartego w nim kodu.

Mikko Hypponen, przedstawiciel antywirusowej firmy F-Secure ostrzega także, iż do uruchomienia kodu wcale nie wymagana jest interakcja użytkownika ( tak jak opisuje to Microsoft - http://www.microsoft.com/technet/security/advisory/912840.mspx - już samo przeglądanie folderu, w którym znajduje się spreparowany plik, może rozpocząć ten proces.

Łata aplikowana jest do wszystkich procesów wykorzystujących bibliotekę user32.dll i blokuje wykonanie funkcji Escape( ) w bibliotece gdi32.dll. W każdej chwili można ją odinstalować - jest dostępna na liście zainstalowanych w systemie programów pod nazwą "Windows WMF Metafile Vulnerability HotFix". Powinna zadziałać w systemach Windows 2000, Windows XP ( edycje 32- i 64-bitowe ) oraz Windows Server 2003.

Autor patcha, Ilfak Guilfanov, zaleca niezwłoczne pobranie i zainstalowanie oficjalnej łaty Microsoftu, kiedy tylko zostanie ona udostępniona przez giganta z Redmond.

więcej w serwisie PC World Komputer »