WMFファイル脆弱性の未公認パッチ

12月29日の「WindowsにWMFに関する深刻な脆弱性」で、WMF（Windowsメタ画像）ファイルの脆弱性があり、悪意のあるWMFファイルをWindowsでプレビューするだけで仕込まれた罠が実行される可能性があるがあると言いました。

思っているよりも被害が出ているそうですね。
特に、メールで送られてくるケースが増えているらしく、「map.wmf」や、拡張子を変更して「HappyNewYear.jpg」というファイルを送ってくるそうです。(画像のリンク先はIT Proのサンプル画像です)

　Windowsの脆弱性を突く新しい画像ファイルが出現，メールで送られてくる場合も (IT Pro)
　「狙いを絞った“メール攻撃”を確認，Windowsの脆弱性を突く画像ファイルを添付」---F-Secure (IT Pro)
　Windowsのパッチ未公開セキュリティ・ホールをふさぐ“非公式パッチ”が公開 (IT Pro)
　「仕事始めの前に回避策の実施を」，Windowsの脆弱性を突く画像ファイルに注意 (IT Pro)
　今回の脆弱性のまとめ (SANS Instituteをたろかわ氏が翻訳)


メールソフトや設定によっては自動的に画像を表示してしまうため、「不審なサイトに訪れない」という心がけでは難しく、やはり何かしらの対処が必要のようです。

対処法については、5つ方法があります。

１つ目は、主要なウイルス対策ソフトは対応済みです。
ですが、ウイルス対策ソフトは100％防ぐことが出来るソフトではありません。あくまでも、「既知のウイルスを防ぐ」というのが主な仕組みで、必ず防げるソフトではありません。ですので、これは「当然の対処」として、他の方法と組み合わせることが大事です。

２つ目は、FirefoxやOpera等のブラウザ、Outlook系以外のメールソフトを使うこと。
これも「Windows 画像と FAX ビューア」が勝手に起動して見せる可能性もあるなど、思いがけない動作の可能性があるため、注意が必要です。

３つ目は、IEのセキュリティレベルを「高」に設定する。
これは、実際に普通のサイトを見る時に問題がメッセージの多発などで、恐らくは途中で我慢の限界に達する可能性があります(笑)

４つ目は、実際にこの脆弱性の原因は、Windows\system32フォルダにある、「shimgvw.dll」ファイルで、「Windows 画像と FAX ビューア」の本体になります。このファイルの登録を解除すること。
コマンドプロンプトで「regsvr32 -u %windir%\system32\shimgvw.dll」と入力して、「C:\WINDOWS\system32\shimgvw.dll の DllUnregisterServer は成功しました。」というメッセージが出てくれば成功です。再起動を行うと、WMFファイルをWindows 画像と FAX ビューアで見なくなります。
パッチが出て安全になった場合に、コマンドプロンプトで「regsvr32 %windir%\system32\shimgvw.dll」と入力して、「C:\WINDOWS\system32\shimgvw.dll の DllRegisterServer は成功しました。」というメッセージが出てくれば登録し直すことになり、元に戻ります。

但し、この登録の再設定方法を忘れたりすると、後々悩む原因になります。
また、エクスプローラーの機能のフォルダ内の画像スライドショーや、縮小版や写真表示が使えなくなるなどの影響が出てきます。意外にこれは使い勝手に大きな問題ですね。その分、普段から危険にさらされていると言えます。

５つ目は、Microsoft未公認のパッチを適用すること。（配布場所）
未公認パッチは安全性などの問題であまり勧めたくなかったのですが、この脆弱性を警告した企業が推奨しているので、現状の最善策と思われます。この方法ですと、４つ目のような使い勝手の問題は発生しません。

　HotFix配布場所（英文）
　上記のダウンロードページ（英文）

上記のexeファイルをダウンロードして、実行するとインストールされます。インストール後に再起動して完了です。
Microsoftのパッチがリリース後、プログラムの追加と削除で「Windows WMF Metafile Vulnerability HotFix 1.x」を削除してパッチを適用すれば完了です。

※内部的な動作は「wmfhotfix.dllは、user32.dllをロードしているすべてのプロセスに介入する。」(たろかわ氏翻訳)との事ですので、場合によっては動作に支障が出る可能性があります。純正パッチがリリース後、速やかな削除が必要そうですね。


結論としては、１のウイルス定義は常に最新にするように心がけ、５の未公認パッチをあてておいて、純正パッチがリリース後に未公認パッチを削除するのが良さそうですね。

Comments

どうも自分には難しい問題です。
変なメールはすべて削除するようにしていますが、だんだんと手の混んだものになっています。
いかにも友人のような件名だったり、Re:をつけて返信メールのように見せかけたり・・・。
気をつけないといけませんね。

Posted by 一番茶 at 2006年01月04日 06:07

一番茶さん、こんばんわ〜♪
この正月、Hotmailのスパムが多くて困ってます。。。
それにしても、アダルトはついつい見てしまう人がいますけど、薬や不動産などのスパムメール、それから買う人なんているんでしょうか・・・？

私もだいぶ用心していますけど、それでも引っかからないとは言い切れないです。
メールぐらいで神経使う必要があるのって、面倒ですよね。。。

Posted by 藍旋 at 2006年01月04日 21:39

会社のPC操作してshimgvw.dllを切り離した後の復帰方法を忘れてしまって、ネット検索で見つけたのがこのページでした。

助かりました♪ありがとうございます＾＾
※ＴＢ、記事引用させて頂きます

Posted by renraku at 2006年07月10日 10:25