Category Archives: wmf

Vulnerabilidad WMF

Existe a día de hoy una grave vulnerabilidad que afecta a los sistemas operativos de Microsoft (Windows ME, Windows 2000, Windows XP and Windows 2003), y para la que aún no existe parche. Es extremadamente peligrosa, ya que permite la ejecución de código malicioso con sólo abrir una imagen WMF. Eso hace que podamos sufrir un ataque navegando por internet, incluso si se hace usando Firefox u Opera.

Como decía, a día de hoy no existe parche oficial para solucionar el problema (ya está disponible, mirar abajo del todo), pero sí que hay uno no oficial, que no resta funcionalidad a nuestro sistema operativo. Se puede descargar de aquí (http://handlers.sans.org/tliston/wmffix_hexblog14.exe y el post del blog del autor del parche). Cuando Microsoft saque el parche oficial, sólo habrá que desinstalar éste desde Agregar y quitar programas, en el Panel de Control.

También existe otra manera de protegernos hasta que salga el parche oficial, y es desregistrando el Visor de Fotos y Fax de Windows (Shimgvw.dll). Para ello hay que seguir los siguientes pasos.

1. Clic en Inicio, clic en Ejecutar, y escribe “regsvr32 -u %windir%\system32\shimgvw.dll”
(sin las comillas), y pulsa Aceptar.

2. Una ventana de diálogo aparecerá para confirmar que el proceso se completó con éxito. Pulsa Aceptar para cerrarla.

El efecto colateral de este arreglo es que el Visor de Fotos y Fax no funcionará más al abrir un archivo asociado a él, pero, sin embargo, no ayudará si lo que hacemos es abrir la imagen con el Paint. Recordad que el Paint abrirá el WMF aunque su extensión no sea .wmf.

Si queremos volver a registar el Visor de Fotos y Fax, basta con seguir el mismo proceso, pero introduciendo “regsvr32 %windir%\system32\shimgvw.dll”.

Mejor y más detallada información en:

Microsoft Security Advisory.

Hex Blog.

FAQ sobre el exploit en vsantivirus.

F-Secure Weblog.

Artículo en la wikipedia.

Actualizado Martes 3 de Enero 2006: nueva versión del parche no oficial, la 1.4.

Actualizado Jueves 5 de Enero 2006: Ya está disponible el parche oficial de Microsoft, aquí.