WMF 脆弱性対策スレッド

WMF 脆弱性対策スレッドです。

マイクロソフト セキュリティ アドバイザリ (912840)
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある
http://www.microsoft.com/japan/technet/security/advisory/912840.mspx

Microsoft Security Advisory (912840) (英語)
http://www.microsoft.com/technet/security/advisory/912840.mspx

日本語 FAQ
http://www.tarokawa.net/tmp/wmf-faq.html
（原版 http://handlers.dshield.org/jullrich/wmffaq.html からの訳出）

F-Secure Blog (英語)
http://www.f-secure.com/weblog/

セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/

非公式パッチ作者 Ilfak Guilfanov の blog (閉鎖中)
http://www.hexblog.com/

非公式パッチ臨時配布所（英語）
http://216.227.222.95/

ZDNet / Windows Meta Fileの脆弱性をめぐって異例の事態
--専門家が非公式パッチを推奨
http://japan.zdnet.com/news/sec/story/0,2000052528,20093855,00.htm

FAQ
http://www.tarokawa.net/tmp/wmf-faq.html より転載。

- なぜこの問題点がそれほど重要なのでしょうか

WMF脆弱性は、画像イメージ(WMF画像)を悪意あるコードを
実行するために使う。この悪意あるコードは、画像を閲覧するだけで
実行されてしまう。一般的に、画像を表示する際にチェックは
何も行われない。もしイメージがあなたのシステムに保存されていれば、
ファイルシステムの検索システムなどにより、画像が「処理」されて
しまうことがあり影響を受ける。また、Explorerのアイコンサイズ
イメージを表示するときにも、画像が「処理」されてしまい影響を受ける。

- FireFoxとInternetExplorerではどちらが安全でしょうか

Internet Explorerは、この画像を警告無しに表示し、脆弱性の
トリガーをひいてしまう。新しいバージョンのFireFoxは、画像を
開く前に警告を行う。しかしながら、ほとんどの環境では画像は
安全であると見なされ、自動的に開く様に設定されている。

- どのバージョンのWindowsが影響をうけますか

全てのバージョンである。
Windows 2000, Windows XP(SP1とSP2)、Windows 2003の全てが
同じ仕組みを持っている。 Mac OS-X、Unix、BSDシステムは影響を受けない。

- Microsoftからは脆弱性の情報が出ていますか

パッチは、次の火曜日、1月10日の定例リリースで配布されると
アナウンスされている。

関連スレ

[ニュー速板] Windowsの脆弱性を突く画像ファイルが出現
http://news19.2ch.net/test/read.cgi/news/1136212496/

[ニュー速板] Windowsの脆弱性をめぐって異例の事態に--専門家が非公式パッチを推奨
http://news19.2ch.net/test/read.cgi/news/1136353615/

ttp://www.itmedia.co.jp/enterprise/articles/0601/04/news004.html
Microsoftは、「この問題が重大であり、攻撃が試みられていることは認識しているが、
攻撃の規模は限定的なものだ」としており、WMF脆弱性を突いた攻撃はウイルス対策企業の
最新シグネチャーにより防止されていると述べている。


・・・・

公式パッチまだかよMS

http://tmp5.2ch.net/test/read.cgi/download/1135955974/

10日ってまた悠長な・・・

>>1
乙

MSは公式パッチがまだなのに非公式パッチを当てるなと言う

F-Secure の blog http://www.f-secure.com/weblog/ によると
「地球の半分が非公式パッチをダウンロードしようとした」ため、
パッチ作者の Blog を閉鎖せざるを得なかった模様。

一時避難先として、http://216.227.222.95 を設置したとのこと。

しかし地球の半分って…。

いったん素の状態（脆弱性のある状態）に戻してからM$パッチを当てる、
ということができない馬鹿が続出して混乱をまねくことは予想できるからだと思う。

とりあえずレジストリからエントリ削ればよろしいでしょう
バックアップはわすれずに
wmfを通常使っている人はこの方法を適用してしまうと
wmfが動かなくなってしまうので注意してね。

「ファイル名を指定して実行」から
regsvr32 -u %windir%\system32\shimgvw.dll
↑この操作のあと、レジストリからshimgvw.dllをたどって
openやprint っていうキーからDLLの登録がなくなってればOK。

MS謹製パッチがでたら逆をすればいいので
regsvr32 %windir%\system32\shimgvw.dll

いまいち詳しくないので何方か補完よろしく

>>13
shimgvw.dllに関連付けてあるソフトが存在する場合、
再起動後に復活するので注意

突然下記ダイヤログが出てｶﾞｸﾌﾞﾙ．．
大丈夫かなあ？識者の方々，ご教示下さい。
当方Windows XP SP2です。

Microsoft Visual C++ Runtime Library
Runtime Error!
Program: C:\WINDOWS\Explorer.EXE
abnormal program termination

>>15
こちらへどうぞ↓

セキュリティ初心者質問スレッドpart65
http://pc8.2ch.net/test/read.cgi/sec/1136294317/l50

http://pc8.2ch.net/test/read.cgi/sec/1136294317/1
をよく読んでから書き込むこと

>>5 >>10 >>11 いかに一般人のほうがMSよりも危機感を持っているかが現れているな

WMFってどっかのプロレス団体みたい

ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2005/12.html#20051228_WMF
>NOD32 の場合AMON(常駐保護)〜のチェック対象に既定ではWMF ファイルは含まれないようです。
>〜WMFを追加し、AMONによるリアルタイム検査（常駐保護）の対象に含めるようにしておくことが必要〜。

つまりNOD32は拡張子を変えられると、悪意あるコードの実行阻止に失敗する可能性があるので注意が必要。
NOD使いの人は、上記リンクの要領で設定の変更を。

恐いきじゃくせいだな。
MSはとっとと修正パッチだせよ。

>>20
ぜいじゃくせい なんだが・・・
釣りですか？やっぱ。

ほんとWindowsはきじゃくすぎ！

>>3

トラブルが多いアンチウイルス製品などに頼り切るよりも、
ウェブ閲覧にはFirefoxのようなブラウザをなるべく用いて、
怪しげなものは開かないようにするという【基本】を重視すべし。
どうしてもIE系を使うなら、セキュリティ設定を【高】に。

>NOD32　主なトラブル履歴
>
>2005年9月ブルースクリーンが生じてWindowsが停止する問題が再発。リリース中止。
>http://canon-sol.jp/product/nd/nd_update.html
>レジストリが破壊されてWindowsシャットダウン時にブルースクリーンとなる問題
>登録済みのアプリケーションが強制削除される問題
>http://canon-sol.jp/product/nd/v20008.html
>通信不能となって最悪の場合はOSがリブートの繰り返しになる問題
>http://canon-sol.jp/supp/nd/wndt4210.html
>スキャンすると受信メールの全部が削除される問題
>http://canon-sol.jp/supp/nd/wndt7003.html
>プリンタとの相性で印刷不能になる問題。
>http://canon-sol.jp/supp/nd/wndt4205.html
>Windowsアップデートができなくなる問題
>http://canon-sol.jp/supp/nd/wndt4212.html

>>21

又、もろよわせいか

tp://www.easypic.org/?sample01.jpg
これもウイルスです

本当かどうか知らんが貼るなよ

WMF 脆弱性対策
IEを使わない
Windowsを使わない

これ以上の対策はないな

漏れもう洞窟で無人島で暮らします

Windowsの未パッチ脆弱性の対策は？　非公式パッチも公開
ttp://www.itmedia.co.jp/enterprise/articles/0601/04/news012.html

>>26
IMON　ファイル　　　http://85.255.113.242/adv/120/sploit.anr　Win32/TrojanDownloader.Ani.gen　　　　　トロイ　　切断されました
AMON　ファイル　　C:\Documents and Settings\...\xpl[1].wmf　Win32/TrojanDownloader.Wmfex　　　　　トロイ　　　　　　　　　　　　　ファイルの新規作成時に発生したイベント。 ファイルは削除されました
AMON　ファイル　　C:\Documents and Settings\...\xpl[1].wmf　Win32/TrojanDownloader.Wmfex　　　　　トロイ　　削除済み　　　　　ファイルアクセス時に発生したイベント。
IMON　ファイル　　　http://85.255.113.242/adv/120/xpl.wmf　　Win32/TrojanDownloader.Wmfex　　　　　トロイ　　切断されました
IMON　アーカイブ　http://85.255.113.242/adv/120/count.jar　　Java/ClassLoader.AA　　　　　　　　　　　トロイ　　切断されました
IMON　ファイル　　　http://lovepic.net/gm.shtml　　　　　　　　　　HTML/TrojanDownloader.XXXToolbar　Adware　切断されました
IMON　ファイル　　　http://lovepic.net/gm.shtml　　　　　　　　　　HTML/TrojanDownloader.XXXToolbar　Adware　切断されました
IMON　ファイル　　　http://lovepic.net/gm.shtml　　　　　　　　　　HTML/TrojanDownloader.XXXToolbar　Adware　切断されました

非公式パッチを使いたいのですが、ttp://216.227.222.95/　に行って
ウェブの上の方にあるexeファイルをDLして
それをダブルクリックするだけでよいのでしょうか。

あと非公式パッチを削除するにはアプリケーションの追加と削除で
削除するだけでよいのでしょうか。

>>26
>>31
((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

この非公式パッチってセーフモードからインストールしないとあたらないよね？
インストール中にAppInit_DLLs〜っていうエラーが出たし。
これはHKLM\Software\Microsoft\Windows nt\Currentversion\Windows
がロックされてるから書き込めないって意味なんだろうけど
再起動してもAppInit_DLLsに何も書き込まれていなかったから
このインストーラーおかしいんじゃないの？

>>32
同じページの下に脆弱性チェッカーがあるから試してみれば？
(ダウンロードしようとしたらノートン先生に蹴られたけれどｗ)
あとは電卓とかを起動させる脆弱性のデモページで実験するとか。

ぶっちゃげ来週までknoppixで生活するのが一番無難にすら
思えてきた。仕事にならんけど家でのWeb読みには十分だし。

>>35
ご返事ありがとうございます。パッチをインストールしてみました。
exeファイルを起動して、同意書→保存する場所→インストール→再起動
でよろしいんですよね。

>>34
私はウィンドウズ2000を使ってますが、セーフモードじゃなくても
エラーメッセージが出ずインストールできました。

>>34
セーフモードにせんでも管理者権限でインストールして
再起動かけたらきちんと当たってたけど、黒氷とか入れてるんじゃね？

電卓が起動するための条件がだいたい絞られました。以下のAND条件。

（１）　wmf ファイルにコードが埋め込まれている（SETABORTPROCで）
（２）　PlayMetaFile API が実行される
（３）　（２）で、使用されるデバイスコンテキストは SETABORTPROC が使用可能

なお、今までの調査から、SetWinMetaFileBits API を実行時に電卓が起動することが
わかっているが、この API は内部で PlayMetaFile を実行する。そのときに使用する
デバイスコンテキストは、SETABORTPROC が使用可能。したがって、PlayMetaFile で
電卓が起動する。

一般的に、画面用デバイスコンテキストは、SETABORTPROC が使用不可。したがって、
画面用デバイスコンテキストの場合は電卓が起動しない。プリンタ用デバイスコンテキスト
は SETABORTPROC が使用可能、したがって電卓が起動する。

>>38 の続き

したがって、脆弱性が発生するパターンは、以下の２つ。

（１）　SetWinMetaFileBits API を使って wmf を画面表示またはプリンタ印字するアプリケーションを使用した
　　　　→　これは、IrfanView の場合に該当。

（２）　PlayMetaFile API を使って wmf をプリンタ印字するアプリケーションを使用した
　　　　→　これは、比較的古いアプリケーションの場合に該当。

（２）のパターンは、Windows 3.1時代から存在する。
（１）のパターンは、WIN32 になってからの存在。

ニュー速のスレ↓停止されたね。

Windowsの脆弱性を突く画像ファイルが出現
http://news19.2ch.net/test/read.cgi/news/1136212496/

>916 名前：おねしょφ ★[sage] 投稿日：移転＆停止
>
>おねしょφ ★ さんが飛ばしました。(￣ー￣)ﾆﾔﾘｯ
>

>>39 の続き
それで、今回の脆弱性が発生する流れですが、（というかwindowsの仕様）以下のような感じ。

（１）　PlayMetaFile API で、wmf ファイルを処理中に
　　　　　　　　↓
（２）　wmf ファイルに SETABORTPROC（プログラムコード） があることを検出
　　　　　　　　↓
（３）　使用しているデバイスコンテキストは SETABORTPROC が有効か？
　　　　　　　　↓
（４）　有効ならばプログラムコードを実行する。

　一般的に、画面用デバイスコンテキストは SETABORTPROC が無効なので、（４）に
至ることはない。しかし、SetWinMetaFileBits API は SETABORTPROC が有効な
デバイスコンテキストを使用して内部で PlayMetaFile API を実行するので、（４）まで
いってしまう。IrfanView は、SetWinMetaFileBits API を使用するため、「電卓」が起動
してしまう。
　また、プリンタ用デバイスコンテキストは、SETABORTPROC が有効なので、もし、
PlayMetaFile API を使用して wmf を印刷するアプリケーションがあれば、「電卓」が起動する。

>>40
いいスレだったのに残念です。

ν速のスレが飛ばされたからここでいいのかな？
つーか何だよあの機能

ニュー速板の次スレ
Windowsの脆弱性を突く画像ファイルが出現★２
http://news19.2ch.net/test/read.cgi/news/1136418510/

元のスレは「ニー速（pink）」という板にとんだようです

>>41
それgifとかでも応用が効きそうな気がしてきた・・・、マジにその機能怖いわ

なんでこんな大穴にもっと早く気づかないの?
Winの開発者って池沼ぞろい?

>>39
98とかMeの人はもう駄目だね。
パッチは公開されないかもしれないし。

これってかなり深刻な事だよな？
意外とみんな無関心な気がするんだけど

WMF脆弱性のパッチが流出
ttp://www.itmedia.co.jp/enterprise/articles/0601/05/news015.html

「パッチのプレリリース版が誤って短い間あるセキュリティコミュニティーサイトに
掲載されてしまった」とMicrosoftセキュリティ対策センターは認めている。

既に企業にメールでトロイを忍び込ませてる予感･･･
気付かれない方法でやってて誰も気付いてない予感・・・
情報抜かれまくってる予感・・・

>>46
http://www.itmedia.co.jp/enterprise/articles/0601/04/news004.html

ここには、
「Microsoftは影響を受けるすべてのWindowsバージョンにおいて、23カ国語同時にパッチを発行する。」
ってあるんだけど、 〜すべてのWindowsバージョンにおいて〜 の部分は信憑性あるのかな？


To all：
他に、すべてのWindowsバージョンにおいて ってアナウンスしてる情報筋ってある？

マイクロソフトがウイルス対策産業に本格的に乗り出してきても絶対に買わないでおこう
この遅さはわざとだな

シグネチャつくるのとパッチ作るのを比較するな。

でも世界一の企業が遅れをとるってのはちょと

それなりに大きなシステムのパッチの作成だ。
互換性のテストなど多岐にわたるだろう。

これで出したパッチに非互換性あったらボロカスにいうんだろう。
>>51は絶対にいう。

IEは、インターネットオプションの詳細設定から「画像を表示する」の
チェックを外しておけば大丈夫かな？

↑そんな時代もありましたねｗ

35:オレオレ!オレだよ、名無しだよ!! :2006/01/05(木) 01:59:56 0
BREAKING NEWS!
Microsoft's OFFICIAL SECURITY UPDATE leaked
onto the Internet early (and it works great!)
http://www.grc.com/sn/notes-020.htm

これによると非公式パッチをインストールしたままＭＳのセキュリティ
アップデート（公式パッチを含む）をインストールしても大丈夫みたい｡

それから公式パッチの非公認プレリリース版がネット上にアップされた
みたいです（ややこしいことですな･･･汗）｡
http://www.microsoft.com/technet/security/advisory/912840.mspx
ＦＡＱの最後[I heard that Microsoft’s security update for the WMF
issue has been posted on the Internet.]以下も参照

最後に、GDI32.DLLの修正は去年の１２月２８日の夕方には完了している
らしいけど（ほとんど瞬時に解決できたみたい）、検証に時間が掛かって
いるそうです（オイオイ、ＭＳの立場も分かるが､一応突っ込みを入れておこう）。

瞬時に解決できたんなら
テストなんてユーザーに任せてサッサと出せや米糞

MSも大変だな。

>>59
それが現状のダイナミック・リンク・ライブラリなのではないかと…

日本語版の更新もやっと来た。　
http://www.microsoft.com/japan/technet/security/advisory/912840.mspx

>2006 年 1 月 10 日 火曜 (米国時間) の月例のセキュリティ情報の
>公開の一部または、月例のリリース プロセス外で提供することを目指して
>います。

日本時間だと１月１１日水曜日ですか　＿|￣|○

そうしてる間に
[WMF脆弱性に2つめの非公式パッチ公開、「新たなリスクを生む」との議論も]
（ITmediaエンタープライズ） - 1月5日13時27分更新
http://headlines.yahoo.co.jp/hl?a=20060105-00000030-zdn_ep-sci

あといくつパッチがでてくるのでせうか？

>>62
MSの対応が遅いからでしょ。
あと2つくらいキボン。

MSまじでアホ
各国政府は直ちに行政指導でパッチ公開させろ。

こういうことがあるから各国政府はLinuxに流れてるんじゃねえのか？

日本の市役所とかのパソコンは、
こうやってる内にもバックドア仕込まれちゃってるんだろうな

これを機会に住基ネット崩壊してくれないかね

エロサイトはlinuxで逝ってる漏れは勝ち組

電波乙。

>>37
XP HomeはセーフモードにしないとAdministratorで入れないよ。
Outpost proもAppInit_DLLsにエントリを追加するけど、
普通のログオンでインストールしても問題はなかったわけだけど。

wmf の脆弱性って過去に何度も発生しているんですね。ちょっとググっただけでも、
MS04-011、MS04-032、MS05-053　（全部バッファーオーバーフロー）の３つが出てきた。
今回は、バッファーオーバーフローじゃなくて「仕様」みたいですが。
MSは何度も以前にパッチ出しているのになんで気づかなかったんだよ！　といいたくなる。

>59
エンバグすると袋だたきの上に集団訴訟山盛りがくるからでしょ。
屋上屋を架すと言うか、レガシーな仕様を完全に切り捨てられない以上、この手の穴はまだ出てくる。

kikuz0u.x0.com/wmf_exp.html
自作PC板の特価品スレでこちらを踏んでしまったのですが、これは何かウイルスに感染してしまうのですか？

【PC初心者と今北専用】

今騒がれているのはウイルスではありません。
OSの欠陥です。
ただし、MSがパッチを配布する前にそこを狙うウイルスが作られた場合は非常にやばい状況。

★今回発見された脆弱性とは？
―画像見るだけ、プレビューするだけ、zipやらを解凍するだけ、画像が張られてるサイトに飛ぶだけで感染しちゃうウイルスが作られるかも

★対策は？
―パッチ配布まで外で遊ぶ

★どんなウイルスができるの？
―↓を踏んで電卓やらメモ帳が起動すれば、脆弱性を持った状態です。(起動しなくても決して安心しないで下さい)

http://grin.flagbind.jp/runcalc.wmf　電卓が起動するだけ
http://kikuz0u.x0.com/wmf_exp.html　メモ帳が起動するだけ

↑のプログラムで「電卓を起動して下さい」って命令を
「HDD削除して下さい」に変えたウイルスが開発されるとあなたのPCは即あぼーんです。
それだけ、危険な脆弱性なんだおー（　＾ω＾）

>>74
ご親切ありがとうございます。
>1を読まずにスレを汚してしまい申し訳ありません。
安心できました有難うございました。

>>23
あほか?

そんなんでは対処できないから、問題になっている。

うん、あほだよ。
だって工作員だし。

バスターユーザーのひと
>>74のリンク踏んだ後手動でスキャンかけるとトロイが検出されるのは俺だけか？

>>78
踏むの怖いからわからんけど、踏めば感知すると思うよ。リアルタイム検索がoffだったり設定間違ってない？

にちゃんねるってどこですか？

>>79
リアルタイム検索は間違いなくonだった設定も確認してからリンク踏んだ
ヤバイ？

>>81
やぱいよ。要リカバリ。次からは気をつけろ。

連投ｽﾏｿ
リアルタイム検索でも検出されたがその後手動でスキャンかけると検出されたトロイがまた検出された

ﾊﾞｽﾀは検出してもキャッシュに残るって既出だと思うんだが

>>84
そうかわかった　thanks

>>74
あとこれだな
ttp://caspian.s33.xrea.com/images/runosk.wmf　スクリーンキーボードが起動するだけ

バスターとかはなぜか未対応らしい

ゲイツ働け

HTTPのProxyで、中身がWMFなファイルをすべて弾いてくれる、っていうのはありますか?

ウィルスバスターなんてアホだから、
ウィルスとして発見したものを対症療法的にチェックしている。
そんなのは、マイナーなものには対処できない。

ファイルの中身をチェックして、WMFの場合で、文法的にマズいものを蹴ってほしい。

他スレで見つけたんだけど、
さすがこの時期でも対応してないのはマズイよな。
ソースはＯＳ脆弱性には元々対応しない方針みたいだが・・・

79 ：名無しさん＠お腹いっぱい。：2006/01/03(火) 17:17:41
見づらいのでもう一度。m(__)m
現時点の対応状況しらべてみた。
各専用スレをさっと見ただけなので間違ってたら修正よろ。
McAfee 2005/12/28
Norton 2005/12/28
NOD32 2005/12/28
BitDefender 2005/12/28
バスター 2005/12/30
F-Secure 2005/12/30
avast! 2005/12/30
AntiVir 2005/12/31
カスペ 2005/11/29不安定？→対応日本語版パッチ2005/12/31
ETrust2005 2006/01/01
AVG 2006/01/02

80 ：名無しさん＠お腹いっぱい。：2006/01/03(火) 17:18:33
V3ウイルスブロック 2005/12/28・不安定？
Panda Antivirus 　2005/12/29？
チェイサー（不明・一部対応？）
キラー（不明・一部対応？）
ドクター（不明）
ソース（未対応）
キング（未対応）

81 ：名無しさん＠お腹いっぱい。：2006/01/03(火) 18:06:20
>>80
Dr.Webが未対応だからチェイサーも未対応だと思う。
Pandaは一応検出はするな。時期は知らないが。

ウイルスバスターは一部実証コードを検出しないよ。
ヒューリスティックエンジンがNorton AntiVirusのBloodhoundより弱いみたい。
NortonはBloodhound.Exploit.56という風にBloodhoundで検出するもの。

ためしに mmc を起動するだけの wmf 作成したら、ファイルサイズ 96 bytes でできた。

Mac欲しいね

regsvr32 %windir%\system32\shimgvw.dllがダメポなので、↓の
http://amatanoyo.blog16.fc2.com/blog-entry-141.html#more
ttp://up.viploader.net/mini/src/viploader2144.zip.html
に入ってるGDI32.dllを代用してみる。

なんで対策ソフトで対応していてブロックするのに一週間待てないのかね

対策ソフトで100%ブロックできるわけじゃないからさ。

WinXP SP2だと起動しなくなるので、非公式パッチでしのぐしかないぽ。

WMFって何かな? と思って検索したら
http://www.skynet.ie/~caolan/publink/libwmf/libwmf/doc/
を発見。

GDI関連のWin32API呼び出しをファイルに記録したものだって。
んなアホな・・・

>>95
落ち着きのないやつらは無視しとけ。不安解消にあれやこれや言ってるだけだと思うから。

>>98
Windowsプログラムでは基本だよ。
たしかぺゾルト本でも解説があったと思う。

検証用ファイルをブロックして安心してるWWWWWWWWWWWW
本物のウイルスがきたときが見ものだWWWWWWWWWWWW

>>101
マカフィーは最初の脆弱性を利用するコードをヒューリスティックで検出しているからまずすっぽ抜けない。

>>100
そんな危険性たっぷり + 検証が面倒くさい ものを、ブラウザが表示しちゃうなんて、マヌケすぎ。

eiwdo試用版（ワクチン）のスキャンアルゴリズムがどんな感じか調べてみた。

（１） ファイルの先頭バイトのチェックにより、wmf ファイルかどうか確認
　Placable のマジックコード D7 CD C6 9A　または、
　Standard のヘッダーバイト　01 00 09 00 00 03 であるかどうか

（２） wmf ファイルなら、データをパーズして SETABORTPROC があるかどうか検出
　18 バイト目から wmf データを解析（パーズ）し、wmf のコマンド部分が、
　26 06 09 00 であるかどうか

ttp://caspian.s33.xrea.com/images/runosk.wmf は、Standard wmf だけど、先頭バイトが
02 00 09 00 00 03 なので、eiwdo はスルーする。
というか、runosk.wmf は怖くて自分は表示させてないのですが、これって本当に
スクリーンキーボードが起動するの？　バイナリエディタで見た感じでは、SETABORTPROC
が見当たらないのですが。。。

>>104
起動する。

>>104
.wmfじゃなくても、Shimgvw.dllでCLSIDに関連付けして登録してある拡張子は全滅だろう？

ノートン入れときゃ大丈夫なんじゃないの？

いまWindows XPの販売促進CMが流れてたぞ。とんでもねえ会社だ。

>>107
ヒューリスティックがあったとしても、
新種を常に検出してくれる保証はない。

>>105
ありがとう。勇気を出して私も表示してみました。こっちでもスクリーンキーボードが表示されました。
で、runosk.wmf をいじってどういう仕組みか確認してみました。

runosk.wmf には、26 00 09 00 という SETABORTPROC に良く似たバイト列がありました。
デバッグしたら、このバイト列が SETABORTPROC として動いていました。
本来は、26 06 09 00 が正しいバイト列です。
　（26 06 の部分が Escape で、09 00 の部分が SETABORTPROC です）

驚いたことに 26 01 09 00 に変えても 26 02 09 00 でも 26 FF 09 00 でもスクリーンキーボードが
動きました。GDI32.DLL は、26 XX を全て Escape API として扱っているようです。
たしかに、26 XX というコマンドは Escape だけだけど、ひどいな。ワクチンベンダーもだまされたのか。

NOD32だと亜種で検知された
ヒューリスティックで反応できた感じ

NOD32だと亜種でも平気で検出するよね。
世界一優れたヒューリスティック機能を持つアンチウイルスだし。

runsok.wmf が検出できるかどうかは、ワクチンベンダーの能力を測る試金石になるね。

IEは、Placable wmf だけインライン表示できるね。Standard wmf は表示されない。
（今、出回っているウィルスは Standard の方）
デバッガで調べたけど、Placable wmf を表示するときに、SetWinMetaFileBits は使っていなかった。
PlayMetaFile を使っていた。

runsok.wmf
念のためパターンUpdateしてから自分の環境で試してみた
ヒューリスティックは両方高。
AVG スルー
AntiVir スルー
中でやってることがスクリーンキーボードだけだからなのかな。

スパイウェアとして検出してくれるセキュリティ対策ソフトもあるみたいだけど
Ad-Awareはスルー

runcalc.wmf
AVGもAntiVirもウイルスとして検出。
AVG Exploit.WMF
AntiVir EXP/IMG.WMF

マカフィーは、今回の脆弱性を利用するファイルとして検出する
しかし、Windows Picture and Fax Viewerは起動するが、スクリーンキーボードは起動しない
俺としてはどちらも実行して欲しくないところである

とりあえずNODがあれば怖いものなしだな

>>115
runosk.wmf をバイナリエディタで下記のように書き換えると、検出されるようになると思う。

0x0000 バイト位置を 0x02 から 0x01 に変更
0x1283 バイト位置を 0x00 から 0x06 に変更

これってActivXでformat.exeが動くのと同じような。
脆弱性っていうより便利な機能じゃないの

インターネットでWindowsでしか動かない機能は仕様としてNG
ローカルのみならこの仕様はアリだな。

メタファイル自体は便利だけど
メタファイルの仕様としては Escape をサポートする意味はないし
コールバックの設定する意味もない

SetWinMetaFileBits の内部で、PlayMetaFile を実行するときに、
変なデバイスコンテキスト（SETABORTPROC が使用可能）をわざわざ使わなければ、
今回の問題は、プリンタ印字時に限定された。
もし、そうだったら、かなり問題を緩和できたのに、なんで、わざわざ、変なデバイス
コンテキストを勝手に使うんだ？　＞GDI32.DLL

画像をクリックしてもWindows Picture　and fax Viewerが開かないようになったんだけど
これは今回の件と関係ある？

>>122
関係あるけど、君が何もしていなければそういうことは起こらないよ。

>>122
対策は施したものの、対策についての説明を一切読まなかっただろ？

wmf問題に関係するファイルとして
アニメサロン板にリンクがあったけどこれは危険かな？
ttp://anime.2ch.net/test/read.cgi/asaloon/1136414467/38
2番目のファイルだけ残ってて拡張子がzipから変更されてた

ダウンロードしたjpgファイルがこれだったとして、
それを実行したときに直接何か被害あるんですか？
どっかからトロイなんかをダウンロードしてくるってあったんですけど、
それってFWが許可しなくてもダウンロードしてきてしまうんですか？

>>126は>>1から全部暗証できるようになるまで音読せよ

>>126
可能だよ
画像からIEを起動してファイルをダウンロードすることもできる。
この場合FWでIEの通信を許可してたら防ぎようがないっしょ。

>>128
それってまともなjpg画像じゃないよね、本来は壊れた画像データとして処理すべきでは?

結果的に拡張子偽装と変わらないような。

>>126
よっぽど軽はずみでツキのない人間以外は大丈夫だよ。

>>129
ファイルの実態はWMFファイルなのに.jpgと偽装してる場合
WindowsはWMFファイルとして処理してしまう。
これが今回の問題

>>127
暗証ってどうやるんですか？

>>131
拡張子がどうであれ
ヘッダがWMFなら
WMFファイルとして処理するのが正しいと思うが

Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)
http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx
Important Information for Thursday 5 January 2006

In addition, Microsoft is releasing the update early in response to strong
customer sentiment that the release should be made available as soon
as possible.

The security update will be available at 2:00 pm PT as MS06-001.

Enterprise customers who are using Windows Server Update Services
will receive the update automatically. In additional the update is
supported Microsoft Baseline Security Analyzer 2.0, Systems Management
Server, and Software Update Services. Enterprise customers can also
manually download the update from the Download Center.

公式パッチたん(;´Д`)ﾊｧﾊｧ

MS06-001 912919 Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある
http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx

2000 IA32 http://www.microsoft.com/downloads/details.aspx?FamilyID=aa9e27bd-cb9a-4ef1-92a3-00ffe7b2ac74&DisplayLang=ja
XP IA32 http://www.microsoft.com/downloads/details.aspx?FamilyID=0c1b4c96-57ae-499e-b89b-215b7bb4d8e9&DisplayLang=ja
XP x64 http://www.microsoft.com/downloads/details.aspx?FamilyID=3a1166e6-5e9e-4e73-bcd4-28eca6ece877&DisplayLang=ja
2003 IA32 http://www.microsoft.com/downloads/details.aspx?FamilyID=1584aae0-51ce-47d6-9a03-db5b9077f1f2&DisplayLang=ja
2003 IA64 http://www.microsoft.com/downloads/details.aspx?FamilyID=6e372d41-2c16-415e-8306-a5ca8845cc09&DisplayLang=ja
2003 x64 http://www.microsoft.com/downloads/details.aspx?FamilyID=a8f4dcba-5d28-4d9d-a6a4-3b71108cfe2d&DisplayLang=ja

http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx より抜粋
--------------------------------------------------------------------------
この変更により、脆弱性に対処するために WMF ファイルの META SCAPE レコードで
SETABORTPROC レコードタイプの使用がサポートされなくなります。 この更新プログラム
により、アプリケーション上で SetAbortProc() API を使用したABORTPROC 機能を登録
する事は引き続きサポートされます。
--------------------------------------------------------------------------

下位互換性を切り捨ててきました。修正方法としては、まあ、無難なところですね。
なお、パッチ適用しましたところ、電卓もメモ帳もスクリーンキーボードもみごとに
起動しなくなりました。

また、>>39 の（１）と（２）の両方が、修正されたのを確認しました。

Microsoftの修正パッチがリリース前に流出，「無視してほしい」
ttp://itpro.nikkeibp.co.jp/article/NEWS/20060105/226927/

リークされて仕方なく緊急公開した悪寒だが
大丈夫なのか

さすが

MS-06「ZAKU�U」初号機

WUでうp立て完了

>>138
大丈夫かどうかは解からんが
最後のテストはユーザ任せってことで。

大丈夫なら
「11日の正式公開まで何をするつもりだったんだろ」ってことで
次に見付かる、緊急性がある脆弱性の修正パッチの公開が早まる
といいな。

非公式パッチ昨日入れたばっかなのに

3日に10まで待て言われたばっかりなのに
この心変わりは一体

>>143
http://www.exconn.net/blogs/default.aspx

>>144
�d
じゃ912840は永遠にパッチなし？？
ttp://www.microsoft.com/japan/technet/security/advisory/912840.mspx

IA32ってなに？

インテルアーキテクチャー３２ビット

F-SECURE　Microsoft WMF patch coming out today
ttp://www.f-secure.com/weblog/archives/archive-012006.html#00000771

非公式パッチとREGSVR32回避策は
そのままでいいってこと？

ttp://isc.sans.org/diary.php?storyid=1019

1. Reboot your system to clear any vulnerable files from memory
2. Download and apply the new patch
3. Reboot
4. Uninstall the unofficial patch, by using Add/Remove Programs on single systems.
If you used msi to install the patch on multiple machines you can uninstall it with this:
msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn
5. Re-register the .dll if you previously unregistered it (use the same command but without the "-u"):
regsvr32 %windir%\system32\shimgvw.dll
6. Reboot one more time just for good measure

regsvr32 shimgvw.dll
これだけでOK
regsvr32 /u shimgvw.dll

Windows Picture and Fax Viewerは必要ないからそのままでいいや

公式パッチ 日本語ページできましたね。
意外と早く収束しそうでよかった、よかった。

Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある
(912919) (MS06-001)
http://www.microsoft.com/japan/technet/security/bulletin/MS06-001.mspx

MS06-001 : Windows の重要な更新
http://www.microsoft.com/japan/security/bulletins/ms06-001e.mspx

ﾊﾟｯﾁｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!!!!

パッチ当て完了しますた＜WindowsUpdateで

パッチ当てたらスタートメニューおかしくなったorz
俺だけ？

どんな風におかしくなったか詳しく

非公式パッチ使うなと言う香具師いるけど
ttp://isc.sans.org/diary.php?storyid=1020

ん〜結局パクリ？とか言って揉めてくれると面白いんだが

一回消して入れなおしたら直りました。
スレ汚して申し訳ない。

スマソ。

・非公式パッチ適用済
・regsvr32 -u %windir%\system32\shimgvw.dll　を実行済

この状態でついつい自動更新が来てたから寝ぼけたままWindowsUpdateも
適用させちゃったんだけど、なにか問題あるかな。今んとこヘンな症状は無いけど。

どっちのパッチもプログラムの削除出来るみたいだから両方とも消して改めて
公式のほうだけ充て直したほうがいいでしょか。

hexblog 非公式パッチと、MS公式パッチ、似ているようでちょっと違うね。

hexblog は、Escape API の SETABORTPROC をただ単純に動作させないようにしているけど、
MS公式は、wmf の表示(PlayMetaFile)の場合のみ動作させなくしている。だから、Escape API
を単独で呼び出す場合は、SETABORTPROC が動作するように互換性が保たれている。

もちは餅屋ってことだな。MSのパッチの法が適切だ。

9xはもう終わりだな。
「緊急ではない」という理由でパッチは公開されず。

>>159
非公式は消しても良い。
regsvr32 -u %windir%\system32\shimgvw.dll は必要なら元に戻せ。
具体的には、フォルダで画像や動画の縮小表示が使いたい場合は元に戻せ。
元に戻さなくともパッチの適用自体に問題は無い。

テストファイル
http://kikuz0u.x0.com/wmf_exp.wmf
http://grin.flagbind.jp/runcalc.wmf
http://caspian.s33.xrea.com/images/runosk.wmf

ウィルスソフトを停止して開いても問題なかった。

>>160
Ilfakパッチだと印刷時に不具合あるみたいだね
ttp://isc.sans.org/diary.php?rss&storyid=1018

でもさあ
そもそもMSがパッチ即出してたら非公式パッチ作る奴なんていないんだから
これを理由にMSマンセする気になるわけがない

>>162
トン。両方消してわざわざ充て直さなくてもよいってことですね。
助言ありがとうございました。

>>164
印刷の不具合についてはソースのコメントにかいてあるようだが？

>>166
そういってるんじゃないの？

　　　_, ,_　
　（; ´Д｀） 　　　　ｹﾞｲｼさん、Meわああああああああ！？
　/ヽ_ｧ/ヽ_ｧ
　）　　）

　　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／|　　　 |⌒|　　　 |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |　　　 ＿＿＿＿＿＿＿
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　　／
　　　　ゝ　　　/ヽ───‐ヽ　/　　/　XPを買え。
　　　　 /|ヽ　　　ヽ──'　　 /　＜　　Me？何それ？
　　　　/ | 　＼　　　￣　　／　　　＼
　 　／　ヽ　　 　‐-　　　　　　　 　　　￣￣￣￣￣￣￣￣

ﾜﾛﾀｗ

>>168
えぇと…マジレスでもいいのか？

>Windows 98、Windows 98 Second Edition または Windows Millennium Edition は
>このセキュリティ情報で解決される脆弱性による深刻な影響を受けますか?

>いいえ。 Windows 98, Windows 98 Second Edition および Windows Millennium Edition には、
>脆弱性のあるコンポーネントが含まれておらず、これらのシステムでは、
>深刻度評価システムで緊急と評価されるような攻撃可能な経路が確認されていないため
>緊急ではありません

>>171
そうなの？検証ファイルにアクセスしたらavastがトロイと診断して弾いてたのだが、もともと
電卓やメモ帳が開く事はなかったって事？
でもMeや98で電卓開いたってレスを見た気がするんだが

>>172
Meなの？avast切って踏んでみれば？
↓の下の方にもあるよ
ttp://isc.sans.org/diary.php?storyid=1019
You can use our test image at 〜の後ろ
SANSが作ったテスト用（電卓開く）
sipr.net/test.wmf

>>173
Meです。ローカルに保存して開いてみましたがビューワーが起動して「プレビューできません」
って表示されるだけでしたね。avastのオンアクセス保護のon,off共に同じでavast反応無しでした。
ファイル上右クリックでavastに放り込むとトロイを検出します。

Meは安全って事ですかね。いや、色んなスレでMeも98も全部危険って話ばかりでしたから・・・
突然ふって涌いた様にMe,98は安全だった、なんて話が出てきたから驚いてます

>171
緊急ではないと言うだけで、穴に繋がる「仕様」は現として存在しているよ。
ただ、攻撃するコードが見つかっていないだけ。
wmfの穴はMe以前にも通用する可能性が高いので、そのうち発見される可能性もある。

最悪なのは、一部のクラッカーがその穴を発見し、密かに利用することだね。
依然として古いOSを使っている人も多いだけに、その時を想像すると((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙだな。

>>175
もう古いOSは実害がないと対応してくれないんだな・・・(´･ω･`)

古いOSにSOS

なにが((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙだよ
ユーザーの誰かが気付くからベンダーで解析して真相が直ぐにばれるわな

それと思しきJPEGをローカルに保存
Windows Picture and Fax Viewerで閲覧→不可
その後、特に怪しい挙動は無し
オンラインスキャン→検出無し
spybot→検出無し

ってアウト？

Criticalとは限らないけど
もちろんあるよパッチ出てないやつ
Microsoft Windows 98
ttp://secunia.com/product/12/
Microsoft Windows 98 Second Edition
ttp://secunia.com/product/13/

>>179
オンラインスキャン→なんの？
spybot→なんでspybot？

Anti-virusソフトテスト
ttp://blog.ziffdavis.com/seltzer/archive/2006/01/04/39774.aspx

>>179
>それと思しきJPEGをローカルに保存
って検証用ファイルか？
じゃなければ、どうしてそう判断したのかわからん。

>>181
自分はV3を使ってるんですが開いた時は対応してなかったんで
バスターのオンラインスキャンをかけてみました。
それからスパイウェアがインストールされてないか
spybotで検索してみたんです。
あと何かすべき事はありますでしょうか？

>Anti-virusソフトテスト
>ttp://blog.ziffdavis.com/seltzer/archive/2006/01/04/39774.aspx

は怖くて踏めません。

>>182
恥ずかしながら
http://pie.bbspink.com/test/read.cgi/girls/1132384677/508
>ttp://ranobe.sakuratan.com/up/src/up79702.jpg

その後のスレの流れで気付きました。

>>184
あんま軽々しくそのリンク貼らないでホスイ。
専ブラで軽くなぞっただけでバスターが反応してウザイっす。

先読みさせなければいいじゃん

普通はリンクさせないのがマナーだけどな。

>>183
ピンク板の画像踏むくせに
>怖くて踏めません。
とは何だ
つーかそれ、単に「ウイルスソフトがWMFファイルを検出出来たか」検証してるブログだから。
バスターはダメらしい
spybotはそもそもウイルス検出用ソフトではない

V3？OSは何よ
XPなら公式パッチ使えばいいだろ

>>183
とりあえず他の対応済みのアンチウィルスソフトで検査するぐらいしかないんじゃないの？
まぁ再インストが一番安心だと思うけど。

うｐだてしたらとりあえずは一安心って認識でおｋですか？

>>183
ダメぽ
テスト用じゃないリアルウィルスダウンしちゃったんじゃない？
とりあえずシマンテック
ttp://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym

WMFの機能はまだ生きてるんでしょ？
だったらまだ完全にはふさがってないかもね

>>188
>つーかそれ、単に・・・
つまり悪質なコードは仕込まれてないって事でしょうか。
V3ってのはアンラボのウィルスブロックです。
前回はローカルに保存したJPEGを削除してからスキャン
掛けたんですが、再度ローカルに保存しようとしたら
今はV3が蹴ってくれます。

ちなみにリンク踏んでみましたがスパイウェア検知
のメッセージが何個か出ました。

>>189,191
ありがとうございます、今ノートンスキャン中です。

インターネット初心者で調子こきたいやつは最低限これはマスターしておこうな

マイコンピュータを開く→ツール→フォルダオプションの
１．「登録されている拡張子は表示しない」のチェックを外す
２．「縮小版をキャッシュしない」にチェック

１．はウィルス対策ソフトをインストールしていないのにウィニーなどで調子こきたいやつが
拡張子.exe（エグザ）などに偽装されたフォルダを安易にクリックできなくする効果がある
２．は今回の脆弱性（ぼうじゃくせい）に関する対策のひとつ
フォルダを開いた時、勝手に画像の縮小版（サムネイル）を表示できなくする効果がある

>２．は今回の脆弱性（ぼうじゃくせい）に関する対策のひとつ
>２．は今回の脆弱性（ぼうじゃくせい）に関する対策のひとつ
>２．は今回の脆弱性（ぼうじゃくせい）に関する対策のひとつ
>２．は今回の脆弱性（ぼうじゃくせい）に関する対策のひとつ
>２．は今回の脆弱性（ぼうじゃくせい）に関する対策のひとつ

追加
ちょっとベテランになったら窓の手っていうツールを使って
>>194の２．を適用する以前にキャッシュされてしまった情報ファイルを
削除できるから小心者はチャレンジしてもらいたい

インターネット初心者でデタラメ言って調子こきたいやつは最低限これはマスターしておこうなw

あからさまにアホな書き込みはしないw

書いてることは正しい
いまだにキンタマ食らうやついるし

>>193
>つーかそれ、単に・・・
は
ttp://blog.ziffdavis.com/seltzer/archive/2006/01/04/39774.aspx
のこと。
悪意あるWMFを各種アンチウィルスソフトで検証しているが
アンラボなんて載ってないから知らねえ

>つまり悪質なコードは仕込まれてないって事でしょうか。
何故検証スレに行かないんだ

　　　　　　　　　 ,､- '''"~~~~ﾞﾞﾞ ''‐ ､
　　　　　　,､.'"　　　　　__,,,,,_　 　 ﾞ' ､
　　　 　 ,.'::　 　 ,､- ''"´　　 ｀ﾞﾞﾞ''‐ ､ ﾞ' ,　 ,,､､､
　　 　 ,.':::　 .,. "　　　　　　　　　　　ﾞ'.､r'"　　 ﾞ'､
　　　,.'::::　, "　,　 ., , ,, ､,　　,　､ ､　,r"　　 　 　 ',
　　_,i､　 ,.'　　.i　 ,','l !l .!l l. ! ',, l .l､/　　　　 ........ !
　 ﾞ,~　　 ,.ri.　　.{　.!.!,i,',l ,',!,! l', l',l,,,!/　　　 .::::::::::::::!
　 ﾞ､:::::,.' .::!　　 lﾞ､'l"l,' !,'!'!'.ﾚ !' .'''.,'　　　.:::::::::::::::::l
　　 ,>' .:r"l　　',.l,､‐''''i-　　　　 ''i;'　　 .:::::::::::::::::::,'
　〈-､::::ﾞ'‐!.　,. '､ゝ;;;:j　　　　　 /. 　 .::::::::::::::::::::,'
　　 ﾞ､ ﾞ''‐-l　 ', .ヽ｀.´　　　　' ,.'　　 .::::::::::::::::::::/
　　 ｀,i‐､..}i　 '.;:.　ﾞヽ　 　ヾｿ'　　 .:::::::::::::::::::,.' 　　　　ちぃ ぼうじゃくせい
　　　 /　;. ﾞ,ﾞ, 　 ';:　 ﾉ,,､-''"　　　.::::::::::::::::::,r'　　　　　おぼえた！（旧お約束）
　　/　,.'-‐ﾞ'',-,､,i'"ﾞ! "　　　　 .::::::::::::::::,r'"',
　 /　i'r"ﾞ'´｀　｀'''>'　　　　　　ﾞ,::::::::::;r':! 　 ',
　 / .,､'´　::､　.:,r'"　　　　　　　 ﾞ､:::::'::::::',. 　 ',
/ .,.!　 ..　 :ﾞ'::,'　 　､.l.　　　　　　ﾞ､:::::::::: ﾞ､.　 ',

>>194は調子こきたいお年頃の熟語初心者

説明は間違いだらけ
>>194のレスの脆弱性（ぼうじゃくせい）は目に余るものがある

はいはい、みなさん（きじゃくせい）と発音してるオレが来ましたよ！

ベテランの俺がちゃんと補足しておく
マジレスｽﾏｿ

>>194の１に関して
×安易にクリックできなくする効果がある
○安易にクリックしないようにするため（実況ファイルはウィルスの場合があるから）

２に関して
今回の脆弱性は縮小版を表示しただけで感染するのでそれの予防という意味
ちなみにファイル自体を持っているだけでは感染しない

>（実況ファイルはウィルスの場合があるから）
>（実況ファイルはウィルスの場合があるから）
>（実況ファイルはウィルスの場合があるから）
>（実況ファイルはウィルスの場合があるから）
>（実況ファイルはウィルスの場合があるから）

>>193
つまりここにはこんなレベルの人しかいないから
解析無理です
早く検証スレ行って下さい
もしくはテスト用ファイル作った人のブログでも参考に
ttp://kikuz0u.x0.com/td/?date=20051228#p01
ログだのタスクマネージャだの確認して下さい

見ないとわからんけど
そんな怪しいうｐろだアドレスの画像
セキュリティソフト切ってダウンしろ言われてもな

>>205
氏ね

やべ、ツボにはまったｗ

マイコンピュータを開く→ツール→フォルダオプションの
１．「登録されている拡張子は表示しない」のチェックを外す
○安易にクリックしないようにするため（実況ファイルはウィルスの場合があるから）

実況ファイル　を既にPC内に取り込んでいる事が条件らしいが何か

実況ファイル の検索結果のうち 日本語のページ 約 100 件中 1 - 37 件目 (0.39 秒)

実況ファイル ウィルス の検索結果 約 4 件

実行ファイルのことだろ？違うのか？

jikkyou
現実のありのままの姿。実際の状況。「―中継」

jikkou
実際に行うこと。「計画を―に移す」「予定どおりに―する」

実況ファイルゲーム

オリンピック実況委員会

悪意あるJavaスクリプトの 実況

おまいら変なお祭りになってるけど、WMFのぼうじゃく性対策を
はやく実況汁！

公式バッヂ当てて安心したと思ったらこのあり様か
ほんとおまいらのビキナーズラックっぷりにはいつも呆れる

で、検証スレってどこ?

>>219
WWFのぼうじゃくせい本スレはここかな

http://news19.2ch.net/test/read.cgi/news/1136418510/

Graphics Rendering Engine の脆弱性によりコードが 実況 される可能性がある
概要 :
このセキュリティ情報の対象となるユーザー : Microsoft Windows をご使用のお客様
脆弱性の影響 : リモートでコードが 実況 される

Graphics Rendering Engine の Windows メタファイル (WMF) の画像形式を処理する方法に
リモートでコードを 実況 される脆弱性が存在します。
攻撃者は、リモートでコードが 実況 される可能性のある Windows メタファイル (WMF) の画像を
特別に作成することにより、ユーザーが悪質な Web サイトを訪問した場合、
または悪質な電子メールに添付された特別に細工された添付ファイルを開いた場合、
この脆弱性を悪用する可能性があります。

>>220
それ何て保護団体

Graphics Rendering Engine の脆弱性(ぼうじゃくせい)によりコードが 実況 される可能性がある
概要 :
このセキュリティ情報の対象となるユーザー : Microsoft Windows をご使用のお客様
脆弱性(ぼうじゃくせい)の影響 : リモートでコードが 実況 される

Graphics Rendering Engine の Windows メタファイル (WWF) の画像形式を処理する方法に
リモートでコードを 実況 される脆弱性(ぼうじゃくせい)が存在します。
攻撃者は、リモートでコードが 実況 される可能性のある Windows メタファイル (WWF) の画像を
特別に作成することにより、ユーザーが悪質な Web サイトを訪問した場合、
または悪質な電子メールに添付された特別に細工された添付ファイルを開いた場合、
この脆弱性(ぼうじゃくせい)を悪用する可能性があります。

このスレは、WWFのぼうじゃくせいに対する公式バッヂの実況ファイルでお送りします

>>219
どこでもいいからさっさと池沼

勇気がなくて踏めない人のための鑑定スレPart4
http://pc8.2ch.net/test/read.cgi/hack/1131164828/
ブラクラかもしれなくて踏めない人たち その6
http://pc7.2ch.net/test/read.cgi/pcqa/1134853652/
ブラクラ踏んでしまいました(*_*)
http://pc8.2ch.net/test/read.cgi/sec/1014729406/
勇気が無く見れない画像鑑定スレ5初心者板
http://etc3.2ch.net/test/read.cgi/qa/1136029404/
【グロ上等】勇気が無く見れない画像鑑定スレ+6
http://aa5.2ch.net/test/read.cgi/aasaloon/1133604425/
恐くて見れない画像解説スレinWEB制作板
http://pc8.2ch.net/test/read.cgi/hp/1080549397/
勇気スレの鑑定士と雑談するスレinフラ板Part11
http://pc8.2ch.net/test/read.cgi/swf/1112068985/

> ほんとおまいらのビキナーズラックっぷりにはいつも呆れる
(　・ω・)ﾓﾆｭ?

wmf脆弱性をついた新たなファイルと思われるものを３つほど見つけました。
検証してもらいたいんですが、どちらの検証スレに行けばいいんでしょうか？
誘導お願いします

>>227
セキュリティベンダーにでもさっさと送って下さい
別に見たくもありません

WWFのぼうじゃくせい
をついたウィルスを
2ちゃんでばらまこうとしているシトがいるスレは
ここですか？

きじゃくせいだろ

膀弱性

贅沢税

衰弱死

wwfって野生動物をどうこうしようっていう国際組織なのでは

>>234
>wwf

>>229
＞WWFのぼうじゃくせい
>>234
＞wwfって野生動物をどうこうしようっていう国際組織なのでは

Windowsの贅弱性

WWFの傍若無人性w

Meとか98を使っている人はIrfanViewとかで検証コードを開いてみると良いかも。
拡張子は.jpgとかに変えてね。

ちょっと落ち着けってｗｗｗ

９８と９８ＳＥとＭＥの対策については俺がなんとかしてやるからコタツでみかんでも食いながら待ってろ。
それよりまず※のちゃんとした読み方を教えてくれ。話はそれからだ。


※脆弱性

「もろよわさが」だろ？＜脆弱性

脆弱性→きんとうん

>>241
95と3.1もﾖﾛ

脆弱性(ぜいじゃくせい)

とにかく、くじゃくせいが早めに塞がれて助かった＼(＾o＾)/

>>245

>>241
全角で、脆弱性(ぼうじゃくせい) も読めないやつが、何してくれるんだ？

脆弱性（もろよわしょう）で困ってる俺が来ましたよ

(´･ω･`)もおええっちゅうねん

職場のPCがNTな漏れは勝ち組。

職場のPCがNTRな漏れは負け組。

更新ｷﾀ━(ﾟ∀ﾟ)━!

MS06-001 : Windows の重要な更新
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919)
公開日: 2006年1月6日 | 最終更新日: 2006年1月6日

http://www.microsoft.com/japan/security/bulletins/ms06-001e.mspx

>>253
遅漏にもほどがある

winupdateに繋がらない。
自動でパッチ当てたから平気だけど。

>>255
漏れはお前と心が繋がらない。
なんて話はおいといて。
結局前倒し公開か。妥当と言えば妥当なんだが。

このパッチで更なる穴があいた日には祭りだな

うむ、それだけが心配だ

今回の事で、DEFの事知ってDEF有効にしといたんだけど
パッチ当てた後も、DEF有効のままにした方がいいのかな？

Data Execute Prevention

wmffix_hexblog14.exe
コレアンインストしてからアップデートしたほうがいいの？

>>259
DEPな。扱いにくいから使わない方がいい。

>>260
DEPかよ！


orz

つうか俺Meなんだけど、緊急性が無いからパッチ出さないってのなら
さっさと誰かMeの脆弱性を突いたウィルスでもばら撒いてもらって、MSの重い腰を
上げさせて欲しいとおもた。

>>262
ありがと。
有効にしてるのに、特に変わったこと無いんだけど
やっぱ、問題あるのか。
次、再起動する時戻しとく。

>>264
既に、危険な脆弱性を抱えてるじゃないか。

Meって脆弱性だけで出来ているんじゃなかったっけ

Meは99%の脆弱性と1%のやさしさでできていた頃もありましたが今は見る影もありません

みれにあむださすｗ

まぁ君達にはMeの良さは解らんだろうな（眼鏡のフレームを指で押し上げながら

Meは記念のOSなんだよ

記念だったら20周年記念OSの方を出すべきだろ
あんなゴミ箱出す暇があったらよ

Meへの罵詈雑言はひねくれた愛情の裏返し

躾、愛情と言うなの虐待

人は「MSGSRV32応答なし」を乗り越えて成長するもんなんだよ。
これだから今時のお子様は困る。

Meはやれば出来る子なんだから

いや、いくら躾てもできない子だ

やれば出来る。



やってないから言われる言葉。

FMW

このスレ、
そして、
このスレで情報を発信してくれた皆さん、ありがとうでした！

おれは5人の友人に、ここを再掲載・転載しさせてもらったメールを随時送っていたのですが、
彼らのうちの何人かは、
そのおかげで、きじゃくせいを回避できたと思うんです。

ほんとは　ぼうじゃくせい　って読むんだね。
はずかしい・・・

>>280
まだ恥ずかしいよ、あんた

ああ、膀か。なるほど。

98はもうバンジャイするしかないんですか？

とっくにみんな全裸でバンジャイしてる

膀弱性　ぼうじゃくせい
詭弱性　きじゃくせい
脆弱性　ぜいじゃくせい

軟弱性

そんな不良見たいな口の利き方
おやめなさい！

贅沢性

弱酸性

>>160
そりゃ、ソース持ってる者と持ってない者の差。

他にも互換性を保つために残されている穴って結構あったりしないか不安

さっきXPが勝手に再起動したんで、何事かと思ったｗ

WMFってWin16時代のフォーマットだから
SETABORTPROCで登録するAbortProcも当然16ビットのはずだよね。
(1)なんで32ビットのコードを実行しちゃうの?
(2)つーか実行できるのが「仕様」ならなんでDEPで止まるのよ
MSがいい加減にWin32へ移植した上存在を忘れ去ってただけじゃねーの?
パッチがSETABORTPROC Escapeレコードを切り捨てたのも説明が付くし

>293
Win3.x時代のソフトを切り捨てられないという事情があるからね。
前のバージョンのソフトも動きますよ、ということを繰り返してきたからこその穴。
そりゃ、毎回、一から作り直していたらこんなことは起きにくいさ。でも、そんなことはできない。
あと、OSが肥大化しすぎたというのもあるか。
ここまでくると、モノリシックなカーネルもマイクロカーネルも変わらないよね。

MSがバグを「仕様」と言い張るのは昔からの伝統です。

>>293
ttp://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/vccore/html/_core_features_no_longer_available_in_mfc.asp

98、ME、パッチ出さないことについては
海の向こうでも議論あるよーだねーと一応報告

Windows 98, ME users left vulnerable to WMF bug?
ttp://news.com.com/2061-10789_3-6020645.html

だから早く買い換えろって

Win9xではSetWinMetaFileBitsが脆弱でないので
印刷しようとしない限り攻略できないらしい
過去ログに書いてあったような
「緊急」じゃないってのはそういうことでしょ

年賀状のサンプルデータにWMFはあったし、印刷もしたぞ？

>>298
WMFファイル扱ったら即死とか
そういうネタではない

非公式パッチを当てててその上から公式パッチ当てちゃったんだけど大丈夫？
非公式をアンインストールしてからのほうが良かった？

>>300
もう一度非公式パッチを当て直すんだよ。
これでより強力に膀弱性を防げる。

>>300
>>149
SANSもやってるから無問題

>>301
ハァ？
非公式パッチ使うなら逆に公式パッチは使わなくても可だろ
shimgvw.dll隔離は併用してもいいかもしれないけど

gdi32.dllさえ直せば非公式パッチなんぞ要らん。
shimgvw.dllも元に戻せば良い。

>>303
ﾏｼﾞﾚｽｷﾀｺﾚ

>>304
ﾏｼﾞﾚｽｷｒｙ

どっちも当てれば２倍の防御力。お得です。

>>307
>>160

マジレスする馬鹿ワロスｗｗｗｗｗｗｗｗｗｗｗｗ

アンチウィルスソフトの対応って
一部の機能を使えなくしたってこと?
もしそうなら正式パッチが出たから元に戻すべきではないかなぁ。

>>310
一部の機能（セキュリティホール）を使えなくしたのは、
公式＆非公式のパッチの方。
アンチウイルスの対応ってのは、その穴に入り込もうとする
悪いヤツの首根っこを引っこ抜くことで、配布されたシグネチャは
いわば「人相書き」な。

さすがNOD32

AMON　ファイル　C:\\up79702[1].jpg　　　　　　　　　　　　　　　　　　　　　Win32/Exploit.WMF　トロイ の亜種　削除済み　ファイルアクセス時に発生したイベント。
IMON　ファイル　　http://ranobe.sakuratan.com/up/src/up79702.jpg　　Win32/Exploit.WMF　トロイ の亜種

>>311
さんくす
なら、穴と一緒に元からある機能を削る公式パッチより
穴を通る悪いヤツだけを防ぐアンチウイルスの対応の方がいいってこと?

両方使えってこと

>>312
貼　る　な　ヴォケ

>>313
人相書きの手配書が回ってくるより、悪漢の整形変装速度の方が早いんよ。

ASFは大丈夫なのかなぁ

>>312
そんなの貼るなよ。
ほんとNOD厨は宣伝の手段を選ばないよな・・。

自演止めろ

MSとSONYってなんか似てる。

ttp://pc8.2ch.net/test/read.cgi/sec/1136364383/321
ここ注意です

ttp://pc8.2ch.net/test/read.cgi/sec/1136364383/322
ここも注意です

ttp://pc8.2ch.net/test/read.cgi/sec/1136364383/323
要注意

>321-323
プレビューするだけで頭が可笑しくなるかもです。
専用ブラで多段できる方は無限に重なるかもなので要注意！

>>297
マジ？
じゃあ98は基本的に問題ナッシングなのかね？

>>325
98,Meはサポート切れて見捨てられているだけだ

Meもいらないこなのか・・

なかった子だな

>>325
http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx

Windows 98、Windows 98 Second Edition または Windows Millennium Edition は
このセキュリティ情報で解決される脆弱性による深刻な影響を受けますか?

いいえ。 Windows 98, Windows 98 Second Edition および Windows Millennium Edition には、
脆弱性のある影響を受けるコンポーネントが含まれていますが、
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
緊急の深刻度に評価されるような悪用可能な攻撃経路が確認されていないため、
これらのバージョンでは、この脆弱性は緊急ではありません。

----------------------

9X向けのExploitが現段階で発見されてないってだけでしょ。
「緊急対応」名目で2k,XP,2003serverだけとりあえず救っておいて、
9X系はいつしか忘れ去られるだけのような悪寒。

9xはサポ外。と言いたいM$

最初は「脆弱性の影響を受けるコンポーネントは含まれていません」って書いてたんだよね

やる気がありません！って正直に書けばいいのに

サポート自体6月で終了だしな

>>332
延長って2006/06までだったんだっけ？

>>333
６末のようで

ふと思ったんだが、サポート過ぎてからパソコンをリカバリしたら
winupdateが出来なくなるの？もしそうなら悲惨なんだが

あ〜もう10日といわずさっさと出せ！って感じ。
こちとら心配でネットができね-んだよ！

>>336
>>253

>>335
当分は出来るだｋろうけど
リカバリ直後のアップデートまでにセキュリティホール狙われるという
既知の落とし穴

>>338
「当分は」ですか・・・
新しいサポートが無くなるのは仕方が無いけど、古いパッチなどはずっとwindoesupdateに
残しておいて欲しいな

>>339
95のパッチだってまだリンクにあるけどな
ttp://www.h2.dion.ne.jp/~akira_n/pcat/pcat30.html
バックアップ作っておく知恵もPCスペックもない場合
リカバリする羽目になった時点で普通にもうダメだろ

マイクロソフトのupdate活用したけど今までの修正パッチとか
まとめてインスコしたからDL履歴見てもどのファイルが今回の
修正パッチか分からん。履歴にはどういう名前で表示されるの？
MS06-001ではないことは確かなんだよな

>>341
KB912919だろ

脆弱性
某弱製
着尺製

>>342
サンクス。

XPもSP2以降、大量の修正パッチでたし
そろそろ、まとめ版SP3リリースだな

つか、管理めんどくさいから出してください

そしてまた再起動できなくなったり、と

SP2出てそろそろ1年半になるのかな、
SP3出てほしいね。

しかし今回の脆弱性って危険度MAXなのに世間でまったく騒がれないのがなんとも。
アップローダーに普通においてあるjpgがWMFウィルスである可能性も十分にあるわけで
アップローダーとかは何らかの対策をとるべきだと思うんだけど。
サムネイル処理やimg src=してるところは大丈夫だろうけど、

ブラスターの時は結構騒いだんだけどな
無差別攻撃じゃないから、俺だけは大丈夫ってユーザーが多いんじゃないだろうか

>>348
世間一般の人はホームページやブログを見たり、メールを見たりするだけで
お前みたいにアップローダーからしこしこ画像を取ってきたりしないから

場所があぷろだでなくても危険じゃないの？

ホームページやブログを見たり、メールを見たりするだけで
感染する可能性があるから危険なんじゃなかったっけ？

ポータルサイトが、危険性およびWindowsUpdateを
呼びかける必要があるな。
・・・とはいってもインターネットユーザの全部が
Windowsユーザでないことや、Updateしたことによる
弊害が発生した場合のことを考えると、そういった
呼びかけはできないのかな。

Nimudaの恐怖を思い出した

>>354　Nimdaだろ？-->[admiN][istrator]
俺は今蕎麦のほうが怖い・・

OE使わないだけでかなり防衛できるんだな。見た目寂しいが
今時、画像表示しない設定でweb回ってる人って少ないだろうね
jpgに偽装できるってのはかなり深刻だよなぁ

>>356
Microsoft Updateでも修正パッチが出たし、
ウィルスソフトも対応できてるのに
何が深刻なの？

パッチを当てていない意識の低い人がデフォルトで山のようにいる事が問題。そういう人から
ウィルスがばらまかれる訳で、OEの存在そのものが邪悪！！

邪悪とかはどうでもいいが、
便利の追求で安全が度外視されるM$の設計思想はどうにかするべきかも

そこでUNIXデスクトップですよ

>359が正論かな

全世界の全windowsユーザーが修正パッチを導入すれば全く問題なし
現状では、いまだブラスターがあちこちのポートをノックしてる状態

>357はパッチ当てたからそう言えるんだろうけど
世の中にはWMF？ﾊｧ？な人がごろごろいるって言うのが、おれの危惧するところ

最初にバッファオーバーフロー問題が出た時に
全部点検して修正していれば多くの脆弱性は無かったのに
機能うpを優先して放置したM$だからね

バッフャバッファしていい？

独占的なシェアを持ってること自体、危険だよな

かといって、M$から簡単に離れられるのか？

Linux版のブラウザやオフィスなら無料であるが
エロゲー目当てなら選択肢はない。

役所の定型業務ならLinuxに乗り換えて経費削減汁!
と言いたい。

無料とかではなくて、敷居の高さの問題
それでも、一時期に比べればずいぶん低くなったとは思うが

>>366
役所のおっちゃん、おばちゃんにLinuxのメンテをさせるのは無謀な気が…
日本語表示のWindowsでも四苦八苦してるのに

おっちゃん、おばちゃんをクビにしろ

>>369　←　こんなところにデジタルデバイドの弊害が

韓国のインターネット普及率が68％突破--デジタルデバイドの問題も - CNET Japan
http://japan.cnet.com/news/media/story/0,2000047715,20070392,00.htm

M$は形を変えた十字軍

Ｖｉｓｔａってどうなんかね

1ヶ月で修正パッチがでるに10000ﾍﾟﾘｶ

その前にWMF周りで新たな脆弱性が発見されて、また緊急性は低いとかで
パッチ先延ばしにして批判をさらに浴びることになるに20000ﾍﾟﾘｶ

3日で深刻な脆弱性が3つ見つけられるに１００００M＄ウォン

ちょっと期待

鉄板すぎて賭にならないに10000M$

といいながら、出たら買うんだろうなぁ

ｈｔｔｐ://www.easypic.org/?sample01.jpg

ってまだ生きてるの？

専用ブラウザによっては ｈｔｔｐ://を全角で書く・抜くなどした
www.google.co.jp/ でもリンカブルだから書き込む側も要注意
w ww.google.co.jp/ なら大丈夫だろう
安全策で行くならスペースを入れまくれ w　w w.go o　gle. co.jp/

俺、98SEだけどIrfanViewで開いても>>163のテストファイルには無反応。
これが「攻撃経路が確認されていない」ってこと？
98・Me系を使ってる人もまだけっこういるし、もう少しデータ集めてみないか？
テスト結果報告頼む。

　　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／|　　　 |⌒|　　　 |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |　　　 ＿＿＿＿＿＿＿
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　　／
　　　　ゝ　　　/ヽ───‐ヽ　/　　/　XPを買え。
　　　　 /|ヽ　　　ヽ──'　　 /　＜　　98？ME？何それ？
　　　　/ | 　＼　　　￣　　／　　　＼
　 　／　ヽ　　 　‐-　　　　　　　 　　　￣￣￣￣￣￣￣￣

>>380
そりは専用ブラウザを直すべきではないか。

>>382
じゃ、Vistaも買わないわ

>>381
３つのファイルは同じエクスプロイトツールを使って作成されてる。
このツールのターゲットがXP,w2k3,VISTAなので9xやw2kでは発動しない。

新たなのがまたでたね
ttp://www.itmedia.co.jp/enterprise/articles/0601/10/news025.html

これは月例に間に合わせてほしいな

>>385
それって公表されてる情報？

>>386
なんつーか流石だなｗ

月例ってあと15時間後くらいだろ
無理すぎｗｗｗｗｗｗｗｗｗｗｗｗ

>>388
98検証データ欲しけりゃ自分で海外ブログでも見たら？
今頃
＞テスト結果報告頼む。
なんて間抜け杉でしょ

お前このスレに何しに来てんの？

パッチでさらに穴が広がったわけじゃないが、
パッチで穴を塞ぎきれなかったてのは最悪じゃないのか

http://internet.watch.impress.co.jp/cda/news/2006/01/10/10430.html
http://japan.cnet.com/news/sec/story/0,2000050480,20094099,00.htm

今日（日本時間で明日）の月例パッチじゃふさがらないんだろうな、どうせ

>>386
http://japan.zdnet.com/news/sec/story/0,2000052528,20094095,00.htm

やっと悔い改めるようだね

てかそこまでしてWMF形式が存在する必要ってあるのか？

WMF＝Dead technologyってことでFA

>>397
MSは過去の資産の継承のみで持ってるようなものだから w

互換性という言葉がMSを縛っているから>>397

DEP付きAthlon64のスレにこれの偽装が張られてたけど
みんな慌ててマジで怒ってたぞｗ

http://www.securityelf.org/files/WMF-DoS.rar

検証ファイルらしい

ぼうじゃくぶじん

>>142
これは亜種じゃなくて同じ対象の別の脆弱性
http://www.itmedia.co.jp/enterprise/articles/0601/10/news025.html

これは亜種73個に対する成績
http://castlecops.com/a6444-Does_your_antivirus_pick_up_the_73_WMF_Exploit_Variants.html

誤爆

>>5

・・・・

>>401
設定で無効にしてたら意味ないしな

XPSP2じゃないと意味が無いしな

Server2003 SP1とかMCE SP2でも意味あるしな

検証ファイルってどうやったら検証できるの？
全然なんにも起こらない。
でもやりたい！パッチまだ当ててない！
自分で呼び出したときだけでしょ？
どうやったら呼び出せる？
あ、MEです！

　　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／|　　　 |⌒|　　　 |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |　　　 ＿＿＿＿＿＿＿
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　　／
　　　　ゝ　　　/ヽ───‐ヽ　/　　/　XPを買え。
　　　　 /|ヽ　　　ヽ──'　　 /　＜　　Me？何それ？
　　　　/ | 　＼　　　￣　　／　　　＼
　 　／　ヽ　　 　‐-　　　　　　　 　　　￣￣￣￣￣￣￣￣

9X系の脆弱性攻略のためのコードがまだ出回っていないので、
検証ファイルは（２ちゃん内では）作成・リンクされてないと思う。

だからと言って、9X系にこの脆弱性が存在しない訳ではない。

>>411
Meの部分が2〜3年後にはXPに、
さらにその5年後にはVistaに入れ替わってるよ。

>>413
パソコン？何それ、になる

何を「買え」になるのかしら。

手前もMe。
やっぱり少数派は狙われにくいと思う。
でも警戒は怠らぬ

>>412
え？
じゃあ早くできるようにして！
やりたいやりたい！
ウイルスとかひっかかったことないから検証したいしたい！
どういう気分なのか味わいたい味わいたい！

勇気スレにでも逝け。
ウイルスの１つや２つすぐ見つかるだろ。

>>418
鑑定してたよ！
グロイのはあったけど私のMEさんに利くのが一つもなかったよ！
IEをわざわざ使って怪しいの色々踏んで「あぁ！これで私もウイルスもち！」って思って
わくわくしてオンラインスキャンしたらパンダでもシマンテックでもバスターでも出なかった！
これどういうこと！

マゾかお前は

>>419
馬鹿だろお前
MEみたいに使用ユーザーが少ないとウィルスを見つけて検体を提供する奴も少ないんだよ
アンチウィルスで検出されなくても既に感染しまくってるってことだよm9(^Д^)ﾌﾟｷﾞｬｰｰｰｯ

windows Masochistic Edition

階段があと５段になったら飛び降りてみたり、
扇風機の隙間に指を突っ込んでみた経験はあるはずだ。

そして奴はこのスレにやってきた
(;´Д`)…
期待を膨らませ、グロ画像の山をのりこえ
(;´Д`)ﾊｧﾊｧ
今正にｳｲﾙｽの仕込まれたJpgを・・・
(*´Д`)ﾊｧﾊｧﾊｧ…ｳｯ!!!
ｷﾀ━━━━━━━━(ﾟ∀ﾟ)━━━━━━━━!!!

この脆弱性って、Winnyでダウンロードしたファイルを普通のエクスプローラーでひらいたら
実行されちゃってあぼーんするんだよね？
キンタマしこまれたのってもう出回ってる？

キンタマ仕込みVerがほしいのであげてみよ。

キンタマウイルス＋Netsky＋Exploit-WMF混合があったら恐い。
すぐ作れるじゃん。

パッチ当ててもう問題ないんだろ
なんでまだ伸びてんだ

>427
新しいのが出たの知らないの？
パッチ当てた数日後にさらに新たな脆弱性が発見、パッチはまだ。

こんなにも脆弱性を連発するMSのパッチに未に期待してるのか
最早ノートン先生にお縋りするしかない w

＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w
＞最早ノートン先生にお縋りするしかない w



('∀`) '`,､'`,､ '`,､'`,､

　_, ,_
( ﾟ∀ﾟ)

>>429
よく言った少年

ttp://jadore.jp/~wild-man/nikki/img/2004/20040306.jpg

Windows Vistaのセキュリティパッチがリリース
http://www.itmedia.co.jp/enterprise/articles/0601/16/news008.html
やはりひと月保たなかったか

キンタマもjpg混入型だっけ？
拡張子を偽装してるんじゃなかった？ .exe
だよね？

>>421
名前でないといや！
名前でるやつがいいの！
友達にこれ感染したんだ〜って言えないじゃん！

自動更新のPCで１９日にウイルス監視ソフトがトロイを確保したんだけど、
これってどういうこと?
>>311　みて疑問がわいた。
ウイルス監視ソフトで引っかかるってことは
セキュリティホール自体はは通っちゃってること？

体に免疫がついていたとしてもウィルスはウィルス。

>>435
セキュリティホール突かれる前に
ウイルス対策ソフトが検出しないと意味ないやろ

外部のトロイをダウンロードしてくるっていっても、
FWをぶち抜く仕掛けはないんだろ。

RootKit仕掛けられたら、わからないかもしんまい。

今回のＷＭＦって
ＷＭＦを参照して攻撃コードが実行されて
トロイとかを引っ張ってくるわけですよね。

監視ソフトがテンポラリファイルからトロイ発見っていってくるわけで、
となると、ＷＭＦの攻撃コード事態は防げてないと思ったわけですよ。

新しいファイルが外にアクセスしようとするとＦＷが警告出してストップするから
トロイ自体は問題ないかもしれないけど、定義にのってないウイルスだったらと思うと・・・

要するにまだまだｊｐｇでも安全じゃないってことですよね。

>>440
今回の場合，WMF自体がトロイですよ．
パッチを当てていても，トロイを踏めばアンチウィルスは警告を出しますが，
それはトロイに侵入される前に見つけたという報告です．

アンチウィルスが見逃したとしても，セキュリティホールが塞がれていれば
トロイは侵入することができません．

しかし，万一トロイに侵入されたとすれば，OS上で動いているFWなどを
殺すことができるので，必ずしも安全ではありません．
この場合に効果があるとすれば，ルータなど別のハードウェアに内蔵されているFWでしょう．

最も深刻な問題は先日のパッチで修正されましたが，WMFの脆弱性が完全に修正されたわけではないので，
まだまだ「安全な状態」とは言えないですね．

>>441
詳しいレスありがとうございます。
なるほど、疑問だった部分が解決しました。

トロイを入れられると大抵がネットワークスキャンをしてパソコンの動作が異常に遅くなるのでほとんどの人はそれで気付くはず。
それに、ネットワークモニタのアイコンが通信を頻繁にしているので気付くはず。
大抵はスパイウェア会社が作っているもので、スパイウェアを放り込まれる。
それと、ネットワーク増殖の機能を持たせているので、ネットワーク上でポートを開いている脆弱な感染可能なマシンをスキャンする。
脆弱なマシンがワームによって感染して応答して来れば、そこにスパイウェアなどを放り込む。
ばかだよな。山のようにネットワークスキャンするからパソコンが動かなくなって直ぐに気付かれる。
放って置くバカなんていないよ。

俺の低スペックPCで下手なことやったら即フリーズだ

445

米AMDのユーザーディスカッションフォーラムのページに
WMF脆弱性を利用した攻略コードが混入していたという話
ttp://www.itmedia.co.jp/enterprise/articles/0601/31/news009.html

もうあんしんしていいのか！？

だれがそんなことをきめたんだ

え？

ttp://internet.watch.impress.co.jp/cda/news/2006/02/06/10772.html

WMF脆弱性を狙う攻撃コードは闇取引の「商品」だった――Kaspersky Lab
http://www.itmedia.co.jp/enterprise/articles/0602/06/news065.html

>>451
露西亜マフィアｵｿﾛｼｽ

WMFの脆弱性が残っていたIE5.01SP4にパッチ。
ttp://www.microsoft.com/japan/technet/security/bulletin/ms06-004.mspx
同じ脆弱性が残っているIE5.5SP2は2005年で終了につき放置。

アンチウイルスの性能評価をしている「AVv-Comparatives」の最新の総合性能テスト結果。（2月分）
ttp://www.av-comparatives.org/seiten/ergebnisse_2006_02.php
※polymorphicウイルス検出結果
1位 ノートン　　　　　　　　　　　100%
2位 AntiVirusKit（G DATA）　　99,9%
3位 Kaspersky5、F-Secure6　99,4%

4位 NOD32 v2.5　　　　　　　　 94,3%


※ウイルス検出結果（DOSウイルスは含まない）
1位 AntiVirusKit（G DATA）　99,84%
2位 F-Secure6　99,58%
3位 Kaspersky5　99,57%
4位 NOD32 v2.5 97,89%
5位 ノートン　97,61%
6位 TrustPort（WS用）　97,35%
7位 McAfee　96,41%
8位 H+B EDV 96,19%
9位 BitDefender9 Pro　93,08%
10位 AVG　90,47%
11位 Avast!　89,24%
12位 Dr. Web　88,76%
13位 Panda 85,70%
14位 NormanVirusControl 85,32%
15位 F-Prot Anti-Virus　83,91%
16位 VBA32（WS用）　76,70%

>>454
最下位 ウイルスバスター

264 名前：名無しさん＠お腹いっぱい。　[（´；ω；）]　投稿日：2006/03/05(日) 06:26:58 ID:???

いわゆる亜種にやられたらしい・・・・・・NODを入れてたんだけど。
NODを過信した自分がカイワソ（´；ω；） ｽ


http://tmp6.2ch.net/test/read.cgi/download/1141230058/
亜種ﾞ（´・ω・） ｶﾜｲｿｽ 救済プロジェクト ver.2.0


265 名前：名無しさん＠お腹いっぱい。　[（´；ω；）]　投稿日：2006/03/05(日) 06:33:35 ID:???

ﾀﾞｳｿ専用のPCが感染した瞬間に、動作が重くなってSSMの表示が異常になったんでLANケーブルをひっこ抜いたんだが、
感染自体は止められなかった（´；ω；） ｽ

hosyu

>>454

※DOSウイルス検出結果
1位 AntiVirusKit（G DATA）　 99,89%
2位 Kaspersky5、F-Secure6　99,77%

4位 NOD32 v2.5　　　　　　　　 98,77%
ttp://www.av-comparatives.org/seiten/ergebnisse_2006_02.php

非公式パッチの作者が語る「WMF脆弱性」の脅威
http://internet.watch.impress.co.jp/cda/event/2006/11/29/14077.html

脆弱
きじゃく？

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

WMFって何の略？

Ubuntuフォーラムに不正アクセス、ユーザー情報が流出
http://www.itmedia.co.jp/enterprise/articles/1307/22/news077.html