تــــــــــــحـــــــــــــــــــضـــــــــــيــــ ـــــــر

قروش · #1

** تحذير **

* ثغرة أمنية جديدة في نظام الويندوز *

95, 98 ME, 2000, XP, 2003

"Windows WMF Vulnerability"

4 يناير 2006

فهد الدريبي (FAD)

مقدمة:

الثغرة الأمنية موجودة في نوع من ملفات الصور التي أنتجتها ميكروسوفت منذ زمن (منذ Windows98) ولازالت موجودة بنفس الثغرة إلى الآن (وقت كتابة الموضوع) حتى في ويندوز XP SP2.

ونوع هذه الصور هو WMF حيث تختلف هذه النوعية من الصور عن غيرها (مثلGIF و JPG) إذ أن تلك النوعيات تحفظ الصورة كنقاط صغيرة ملونة متجاورة فلذلك تسمى صور نقطية (Bitmap) أما WMF فهو نوع متقدم من الصور فقد يحتوي على معلومات نقطية بالإضافة إلى معلومات متجهة (Vector) تجتمع جميعا لتكوين صور أدق في الطباعة وقابلية كبيرة في تغيير حجم الصورة من دون فقدان الجودة. مقارنة بين Bitmap و Vector

المشكلة:

وتوجد أنواع مختلفة من ملفات صور المتجهات (Vector) مثل il من Adobe Illustrator و CDR من Corel Draw لكن فقط الصور من النوع WMF من ميكروسوفت هي المعرضة لهذا النوع من الهجوم والسبب وراء ذلك هو أن ميكروسوفت قامت بتصميم WMF بحيث تقوم بتنفيذ بعض الأوامر للتأكد من خلو الملف من الأخطاء، وقد تم استغلال هذه الطريقة من قبل بعض مبرمجي الفيروسات بحيث قاموا بتعديل ملفات الـ WMF بحيث تقوم بتنفيذ الفيروس عوضا عن الأوامر المتوقعة.

كيفية الإصابة:

الإصابة بهذا الفيروس (أو الدودة) تتم بمجرد زيارة موقع تكون الصورة موجودة فيه وكذلك في الإعلانات المنبثقة من بعض المواقع و حتى في رسائل البريد، حيث يقوم برنامج المتصفح أو البريد بعرض الصور الموجود في الموقع أو الرسالة مباشرة مما يودي إلى تنفيذ الفيروس.

وتنفيذ الفيروس ليس حكرا على Internet Explorer فقط وإنما (تقريبا) جميع برامج التصفح (مثل Firefox) وبرامج البريد (مثل Outlook, LotusNotes) لان تلك البرامج تعتمد على الويندوز في تشغيل الصور.

كما أن الملفات يمكن تغيير امتدادها من قبل صاحب الفيروس من WMF إلى أي اسم آخر (مثل gif, jpg, png) حيث أن الويندوز لا ينظر إلى الامتداد في حال التنفيذ بل ينظر إلى المحتوى فقط، فلذلك لا يجدي حجب الملفات بهذا الامتداد نفعا.

الحماية:

تم اكتشاف هذه الثغرة في أواخر شهر ديسمبر 2005 وتم الإعلان عنها من قبل ميكروسوفت على الرابط التالي:

http://www.microsoft.com/technet/sec...ry/912840.mspx

وقد قامت شركة ميكروسوفت بتوفير طريقة لحل هذه المشكلة بشكل موقت (في الرابط السابق) والحل النهائي (الرقعة) سيتم توفيرها في 10 يناير 2006

ولكن الحل الموقت المقدم من ميكروسوفت يقوم بإيقاف تشغيل الصور وحتى لو كانت سليمة ولذلك قام lfak Guilfanov صاحب موقعHexblog.com بتصميم برنامجين صغيرين احدها لفحص الجهاز للتأكد من كونه عرضة لهذه الثغرة أم لا والآخر لحماية الجهاز لحين وجود حل نهائي من ميكروسوفت:

الملف المرفق WMF Fix.zip يحتوي على ملفين:

- wmf_checker_hexblog.exe يقوم بفحص الجهاز ويبين إذا كان محمي (invulnerable) أم لا (vulnerable).

- WMFHotfix-1.1.14.msi يقوم بحماية الجهاز.

مع العلم بأن البرنامج آمن ويمكن إزالته من الجهاز بأمان (Uninstall) في حال تم إصدار الحل من ميكروسوفت.

روابط عن الموضوع:

US-CERT: http://www.kb.cert.org/vuls/id/181038

Hexblog: http://www.hexblog.com

SANS.org: http://isc.sans.org/diary.php?rss&storyid=996

F-Secure: http://www.f-secure.com/weblog/archi...ve-012006.html

--------------------------------------------------------------------------------
email.

| | | | | Inbox

Notice: Attachments are automatically scanned for viruses using Trend Micro products

م ـحـمـد · 12-02-2006, 07:38 AM

الله يعطيك العافيه اخوي

بس اذكر الموضوع هذا قديم ايام مانتشر فايروس الحسناء اليابانيه كان يستخدم هـ الثغره اذا ماخاب ضني

يعطيك العافيه

za!d · 12-02-2006, 12:22 PM

ممممممممممممممم

مشكور على الموضوع

ولاهنت عزيزي

.. وراح اشغله انشالله ..

ودمت بود ...

زيودي....

الزين كله · 12-02-2006, 07:20 PM

مشكور عالتنبيه .

قروش · 15-02-2006, 01:39 PM

اخوي اشكال انسخ الموضوع لي اذا قد يوم مر عليك

ودي اسأل ليش ردودك كلها تحطيم
وذا كنت فاهم الموضوع غيرك ماشافه ولاقراه
انسخ الموضوع اللي مر عليك وحطه بالمنتدى او خلني اشوفه بس

12-02-2006, 07:38 AM	#2
م ـحـمـد وفي رواية [أشكال]	رد : تــــــــــــحـــــــــــــــــــضـــــــــــيــــ ـــــــر الله يعطيك العافيه اخوي بس اذكر الموضوع هذا قديم ايام مانتشر فايروس الحسناء اليابانيه كان يستخدم هـ الثغره اذا ماخاب ضني يعطيك العافيه

12-02-2006, 12:22 PM	#3
za!d عضو مؤسس	رد : تــــــــــــحـــــــــــــــــــضـــــــــــيــــ ـــــــر ممممممممممممممم مشكور على الموضوع ولاهنت عزيزي .. وراح اشغله انشالله .. ودمت بود ... زيودي.... تكفون قولوا ماشاء الله على تلاوة هذا الطفل .... أحفظ القرأن بـ 10 أيام .. كيف ننتصر وبعضنالا يعرف الصيام إلاّ في رمضان ؟!! كيف ننتصر وبعضنا لا يعرف القنوت إلاّ في التراويح ؟!!

12-02-2006, 07:20 PM	#4
الزين كله عضو مؤسس	رد : تــــــــــــحـــــــــــــــــــضـــــــــــيــــ ـــــــر مشكور عالتنبيه .

15-02-2006, 01:39 PM	#5
قروش رحمك الله يا أباراكان	رد : تــــــــــــحـــــــــــــــــــضـــــــــــيــــ ـــــــر اخوي اشكال انسخ الموضوع لي اذا قد يوم مر عليك ودي اسأل ليش ردودك كلها تحطيم وذا كنت فاهم الموضوع غيرك ماشافه ولاقراه انسخ الموضوع اللي مر عليك وحطه بالمنتدى او خلني اشوفه بس

زوار هذا الموضوع الآن : 1 (0 عضو و 1 ضيف)

أدوات الموضوع
عرض صفحة الطباعة إرسال هذه الصفحة إلى صديق

تــــــــــــحـــــــــــــــــــضـــــــــــيــــ ـــــــر

مجلس البرامج و الكمبيوتر