3 de enero de 2006

Microsoft se HA SUPERADO

Ya se que todos hemos visto y oido historias de horror sobre fallos de seguridad y virus en windows. Pensareis que Microsoft no puede ir más allá. Pues no, nada de eso. Se han superado:

Resulta que en tiempos de Windows 3.0 Microsoft diseño algo llamado "Windows Meta Files". Pues bien: Esos archivos tenían la opción de poder incluir código en la imagen que se ejecutaba en circunstancias especiales. Y como ya habreis adivinado, los "Windows Meta Files" se han seguido incluyendo en todas las versiones de Windows. Hasta en la 2003. Y sin saberlo, apostaría a que en el código actual de Vista.

Pero ojo, porque esto tiene mucha mas miga. Echad un ojo a esta captura de f-secure. Es totalmente imposible darse cuenta de nada con solo mirar la imagen. Y lo divertido de la imagencita es lo que dice el texto: "When the HappyNewYear.jpg hits the hard drive and is accessed (file opened, folder viewed, file indexed by Google Desktop), it executes and downloads a Bifrose backdoor"

Si, señores, es lo que parece: Ya no hay que abrir archivos, ni nada. Tan solo con que se abra el directorio, o que un indexador como el de google mire en su recorrido por el disco duro a ese archivo. La razón creo que es que la mierda esa de WMF tiene alguna relación con el diseño del subsistema gráfico de Windows, el GDI y todo eso. Asi que supongo que en cuanto una imagen intenta "renderizar" o mirar algo del archivo, se ejecuta el código que incluye la imagen. Si la renombras a jpg da igual, porque windows detectara que es WMF y ejecutará el código igualmente. Y esto, señores y señoritas, funciona en todos los Windows del mundo

Pues esto no se acaba aquí. Microsoft ha publicado el aviso 912840 para informar de la vulnerabilidad. Para informar. Porque parche, lo que es parche, no han sacado aun. Dicen que hasta el día 10 de Enero - martes - nada. Y ojo, porque en realidad no estamos hablando de un "bug", sino más bien de una "funcionalidad" de los archivos WMF, asi que no me extrañaría que como parte del proceso de correción de este bug tuviera que eliminar esa funcionalidad. Pero no todo está perdido, porque ha habido un tipo que ha sacado un parche el solo. Si señores: untio ha sacado un parche para esto antes que Microsoft. Y todos los medios están aconsejando instalarlo (a pesar de ser un parche de terceros, etc etc) por la que puede avecinarse, alucinados por la tardanza de Microsoft y agarrándose al clavo ardiendo que es el parche de ese tipo. Por que ya hay worms corriendo por ahí. Tanto ruido ha hecho esta vulnerabilidad, que hasta los grandes de la prensa se están haciendo eco. Y Microsoft lleva una semana desde que se confirmó la vulnerabilidad, y el día que saquen el parchen habrán pasado dos semanas, y ya hay cantidad de virus pululando por ahí. Y como Windows 98 ya ha salido del periodo de soporte, puede que no saquen parche para él.

Pero no os penseis que esto se ha acabado, nada de eso. Volvamos a la parte técnica, la del aviso de seguridad. Si uno lee la sección de FAQ que pone Microsoft, se encuentra con estas joyas:

Does this vulnerability affect image formats other than Windows Metafile (WMF)?
The only image format affected is the Windows Metafile (WMF) format. It is possible however that an attacker could rename the file extension of a WMF file to that of a different image format. In this situation, it is likely that the Graphic Rendering engine would detect and render the file as a WMF image which could allow exploitation.

If I block .wmf files by extension, can this protect me against attempts to exploit this vulnerability?
No. Because the Graphics Rendering Engine determines file type by means other than just looking at the file extensions, it is possible for WMF files with changed extensions to still be rendered in a way that could exploit the vulnerability.


Lo dicho, todo una joya. He oido de fallos y historias raras de Windows, pero esta se lleva la palma. Una compañia que se jacta de poseer el 90 y pico por ciento del mercado de ordenadores mundial y que tiene unas arcas inmensas es incapaz de crear productos ni medio decentes. De una compañia que se jacta de poseer el 90 y pico por ciento del mercado de ordenadores mundial yo, sinceramente, esperaría algo más, no esta chapuza monumental. Menuda verguenza. Yo no me lo explico, esto es el equivalente a entrar a un supuesto hotel de lujo y encontrar que al pasar la puerta tan solo hay un descampado lleno de barro, mierda y chabolas. Y lo peor, es que más que comparaciones estoy haciendo descripciones.

No hay comentarios:

Publicar un comentario en la entrada