2006/01/07

Come funziona la patch WMF

Questo articolo vi arriva grazie alle gentili donazioni di "carcaroth", "motopoeta" e "pietropal****".

Securiteam pubblica una breve intervista tecnica a Ilfak Guilfanov, l'autore della patch non ufficiale che risolve la falla WMF. Ecco come Ilfak spiega la falla e la patch (la traduzione e la sintesi sono opera mia; se sapete l'inglese, vi consiglio di leggervi l'intero originale).

Un file WMF appositamente confezionato può prendere il controllo completo del vostro computer. In effetti un file WMF non è un file grafico normale, somiglia più a un programma che a un file di dati, perché è composto da una sequenza di comandi per Windows. La maggior parte dei comandi è del tipo "disegna una riga blu", "riempi di rosso un rettangolo", e così via. C'è un codice di comando molto potente nei file WMF, il cui significato è "se va storto qualcosa, fai quanto segue:". In questo modo, il creatore del file WMF può far fare al vostro computer quello che gli pare usando questo codice di comando e poi causando intenzionalmente una condizione d'errore.

A proposito della patch di Ilfak:

La patch non fa altro che rimuovere questo comando potente. Non fa nient'altro: modifica al volo l'immagine in memoria del sistema e non altera nessun file sul disco. Modifica l'immagine della DLL di sistema "gdi32.dll", perché è lì che si trova il codice vulnerabile.

Sempre Securiteam ha un'analisi tecnica di come funziona la patch Microsoft:

Fa esattamente quello che faceva la patch di Ilfak Guilfanov, con la differenza che lui l'ha creata in poche ore (più un po' di test). Microsoft ha disabilitato SETABORT: la stessa cosa che ha fatto Ilfak, riarrangiandola un po'. Confrontate pure.

L'articolo mostra bit per bit cosa viene cambiato dalla patch Microsoft e cosa viene cambiato dalla patch di Ilfak. Certo, Microsoft deve fare un controllo di qualità molto severo, per cui è comprensibile un certo ritardo. Però Securiteam nota che la nuova gdi32.dll, dopo l'installazione della patch, non è datata ieri (giorno di rilascio della patch), ma 28 dicembre 2005: il giorno dopo l'annuncio della falla. Mistero.

Promemoria per chi ha disabilitato shimgvw.dll: ricordatevi di riabilitarlo, altrimenti le anteprime in Esplora Risorse e il visualizzatore immagini e fax non funzioneranno, neppure se installate la patch Microsoft. Il comando apposito è già stato descritto in altri articoli, ma lo ripeto per scrupolo: al prompt dei comandi di Windows, digitate REGSVR32 SHIMGVW.DLL.

Per finire, una chicca: la falla WMF esiste tuttora ed è senza patch... per gli utenti Linux. Mi riferisco a quelli che usano Wine, Cedega e Crossover Office per far girare sotto Linux i programmi per Windows: secondo un commento su ZDNet, Wine ha implementato l'intera API per WMF senza rendersi conto che conteneva un problema di sicurezza. Wine, insomma, è così fedele nel replicare il funzionamento di Windows che ne replica persino le falle.

Ciao da Paolo.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili