子供、いらない

はりょ。少子化問題とは関係ありません。
カウンタが345678やその付近の方はベースノートに書き込んでね。

WMFマルウェア、いらない

2006-01-02 18:46:38 | junk.test.body

画像を表示するだけで感染する。Windowsメタファイル(WMF)の脆弱性をついたそんなマルウェア(Malware: ウィルスやスパイウェアのような悪さをするもの)が急増しているとのこと。Windows XPやWindows Server 2003をお使いの方は、マイクロソフトからセキュリティパッチがリリースされるまでは、後述の自衛手段(マイクロソフトが推奨するアクション)をとることをお勧めします。
# 具合が悪ければ、DLLの再登録手順で元に戻せます

この脆弱性は、正確にはWindows Meta FileにあるというよりもGraphics Rendering Engineにあるとのことで、拡張子が.wmfのファイルだけ注意すればよいということではなく、JPEG画像であってもマルウェアを忍ばせることができるとのこと。また、対象となる経路はInternet Explorer(Windowsの標準ブラウザ)だけではなくて、Outlook Express(メーラ)でも、Explorer(フォルダの縮小表示・写真表示)でも、条件さえ整えばFirefoxでさえマルウェアに感染するとのこと。

こんなに酷いセキュリティホールだと、Explorerの縮小表示が使えなくなるのはちょっと不便だけど、マイクロソフトが推奨するアクションである「Windows 画像と Fax ビューア (Shimgvw.dll) を登録抹消する」というのは、Windows XPやWindows Server 2003の利用者・管理者なら必須かもしれない。

今回の自衛手段の手順は、以下の通り。

  1. ファイル名を指定して実行
    Windowsのデスクトップで[スタート]-[ファイル名を指定して実行(R)...]のメニュー操作をして、「ファイル名を指定して実行」のダイアログを表示する。

  2. regsvr32 -u %windir%\system32\shimgvw.dll
    regsvr32 -u shimgvw.dll
    [名前(O)]欄に
    regsvr32 -u %windir%\system32\shimgvw.dll
    と入力してから、[OK]ボタンを押す。

  3. RegSvr32の結果を確認
    DllUnregisterServer shimgvw.dll
    %windir%\system32\shimgvw.dll(例えばC:\WINDOWS\system32\shimgvw.dll)のDllUnregisterServerが成功したことが表示されたら、[OK]ボタンを押す。

  4. 必要ならshimgvw.dllのファイル名を変更
    困ったことに、アプリケーションの中には,Shimgvw.dllを直接呼び出して,レジストリに再登録するものがあるようだ。
    そういったお行儀の悪いアプリケーションを使用されている方は、shimgvw.dllshimgvw_org.dllとかshimgvw_20060102.dllとかいうように、ファイル名を変更しておかないと駄目かも知れない。
    # むしろ、そんなアプリケーションはアンインストールしちゃうことをお勧めするけど

後日マイクロソフトからセキュリティパッチが提供されたり、どうしても「Windows 画像と Fax ビューア (Shimgvw.dll)」が必要で元に戻したくなった場合は、以下の手順でDLLを再登録してください。

  1. 必要ならshimgvw.dllのファイル名を元に戻す
    前述の自衛手段%windir%\system32\shimgvw.dllのファイル名を変更した場合は、ファイル名をshimgvw.dllに戻す。

  2. ファイル名を指定して実行
    Windowsのデスクトップで[スタート]-[ファイル名を指定して実行(R)...]のメニュー操作をして、「ファイル名を指定して実行」のダイアログを表示する。

  3. regsvr32 %windir%\system32\shimgvw.dll
    regsvr32 shimgvw.dll
    [名前(O)]欄に
    regsvr32 %windir%\system32\shimgvw.dll
    と入力してから、[OK]ボタンを押す。

  4. RegSvr32の結果を確認
    DllRegisterServer shimgvw.dll
    %windir%\system32\shimgvw.dll(例えばC:\WINDOWS\system32\shimgvw.dll)のDllRegisterServerが成功したことが表示されたら、[OK]ボタンを押す。

どちらにしても、信頼できないサイトは閲覧しないとか、よく分からないメールは読まずに捨てるとか、常に気を付けておかないとね。
# 単なる画像でも決して安全ではないということです

マイクロソフト セキュリティ アドバイザリ (912840): Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある - Microsoft 2005年12月29日
WMF脆弱性に対する攻撃 - yohgaki's blog2005年12月30日05:15
休暇中のWebアクセスに注意,Windowsの脆弱性を突くサイトが“増殖中” - IT Pro 005年12月31日
SpamメールでのWMF攻撃 - yohgaki's blog2006年01月02日16:34



最新の画像もっと見る

1 コメント

コメント日が  古い順  |   新しい順
何で%windir% (かつを)
2006-01-02 19:20:21
でもなんで、マイクロソフトの推奨するアクションでは%windir%なんだろうか。

# 例えば、ComSpec=%SystemRoot%\system32\cmd.exe になってるのに



本来、system32があるディレクトリは、%windir%じゃなくて、%SystemRoot%だと思うんだけど。
返信する