Primero que todo, gracias a "Memo" (de otra comunidad), por el aviso de la variante de algo que ya se conocia (e informaron aqui en ElAntro de ella), pero que es grave (esta nueva variante del exploit al cual me refiero).

Nota: Lo importante para vuestra seguridad esta en este color.

Como adelante, a pesar de que se sabia que el "Windows Metafile" (WMF) en Windows (2000, XP, 2003. 98 y ME aun no testeados o reportes sobre vulnerabilidades en ellos) tenia errores, y a pesar de que microsoft en este boletin:
http://www.microsoft.com/technet/sec...ry/912840.mspx
...del 28 de noviembre decia que habia problemas con ello, pero no vulnerabilidades graves. Ese boletin se actualizo el dia 30 de diciembre.

Antes de alargarme les dire que DEBEN hacer en sus windows, YA:
Segun el mismo boletin de microsoft.com, lo necesario es...

En español:
Seguido baja esto:
http://handlers.sans.org/tliston/wmffix_hexblog13.exe
...es el parche NO OFICIAL para este error.
DESCUIDA, es 100% seguro, e incluso cuando microsoft libere su parche oficial (el cielo nos escuche) este parche no oficial puede ser desinstalado desde "agregar o quitar programas" en el panel de control de Windows.
Repito: DEBES INSTALAR ESTE PARCHE TAMBIEN.

Con eso estas "vacunado" (por ahora, mientras NO existe parche oficial de microsoft).
Basta y sobra.

Ojo, que haciendo lo que arriba les dije que hicieran, Windows ya no abrira automaticamente las imagenes que tengan asociadas al simple visor de imagenes de Windows. Si las tenian asociadas a otro programa, relax, si no, pueden asociarlas a algun otro visor de imagenes como photoshop, acdsee, paint shop pro, etc.

Si quieren DES-HACER el cambio que les dije que hicieran, hagan lo mismo que antes, pero en el cuadro de ejecutar ingresen esto:
regsvr32 %windir%\system32\shimgvw.dll

Y luego vayan a "agregar o quitar programas" en sus paneles de control, y quiten el "parche no oficial" que instalaron.

...

Vamos a los detalles.
¿Que paso?

Paso que una vulnerabilidad que se le reporto a microsoft, y que este penso que estaba bien parchada, no fue tal. El error esta, y la persona que se dio cuenta de el logro hacer una variante de tal error y logro de nuevo tener acceso... A TODO.
¿A todo?
Si, a todo. Utilizando este error pueden hacer LO QUE QUIERAN con tu pc (si, hasta borrartelo, dicen).

Aca hay mas info de una fuente mas directa (solo en ingles):
http://isc.sans.org/diary.php?storyid=994
http://isc.sans.org/diary.php?storyid=993
http://isc.sans.org/
Aca hay en español:
http://www.pandasoftware.es/sobre_pa...o+empleada.htm
Aunque dice que este error no es importante, NO ES VERDAD, puesto que esta variante de la que les estoy contando es nueva...
...es del PRIMERO DE ENERO DEL 2006.

Si, CUIDADO, esto es "fresco". Es de este dia, 1 de enero del 2006.
En la pagina "casi oficial" con info sobre el problema y el exploit en si, dan un parche NO OFICIAL para este error. Funciona y es RECOMENDADO UTILIZARLO (el truco del DLL puede no ayudarte en un 100% para evitar ser "comido" por este error).
Aqui el link directo al parche aquel:
http://handlers.sans.org/tliston/wmffix_hexblog13.exe
Si no quieres utilizarlo, no hay problema, basta con que hagas eso del DLL (inicio -> ejecutar) y ya.
Esperemos que microsoft saque luego algun parche para esto.

¿Que tiene de importante este error?
Como ya les dije, pueden hacer TODO si caen en el. TODO en sus pc's, sin permiso.

¿Como caen?. Increible: viendo una imagen.
Asi de simple. Basta con ver una imagen, hasta en UNA PAGINA WEB (y tener firefox NO te salva del error de windows) una web con una imagen "maliciosa", y ya, estas infectado...
...o incluso pueden borrarte varias cosas del pc al instante, sin concursos ni sorteos.
Ni siquiera tienen que enviarte la imagen (que tiene EXTENSION de imagen) para que te infectes. Es cosa de abrir alguna web que tenga una imagen infectada, y adios mundo cruel. Asi de grave.

Por eso es importante que hagas lo del DLL (inicio->ejecutar, eso que explicamos mas arriba) y apliques el parche no oficial (que es totalmente desinstalable luego, cuando salga el parche oficial).
Tu antivirus puede NO FUNCIONAR contra este error, puesto que no es un virus lo que te ataca, si no que un error de windows es el blanco y que permite ejecucion de codigo a gusto del "jocker". Repito: tu antivirus por ahora NO TE VA A SALVAR (no 100% seguro).

La idea no es alarmar, la idea es ayudar y cuidarlos.
ElAntro.cl security response

Sobre lo del "visor de imagenes de windows", repito:
Al hacer lo del DLL, este visor queda INUTIL. Aqui mismo en el tema les di un metodo para re-registrar el DLL y hacerlo funcionar de nuevo, pero NO ES SEGURO. No al menos hasta que microsoft saque un parche para este error.

Les sugeri un visor de imagenes como este:
http://rapidshare.de/files/10229285/...UDe__.rar.html
ACDsee classic es la version clasica y LIVIANA de este programa, que es bueno, pero que en las ultimas versiones (como la 7 o la 8) se volvio TAN pesado que cargaba parte del programa en memoria al iniciar windows y consumia mucha ram para poder iniciarse. Esta version que subi y que tienen ahi es la clasica, simpia y ULTRA LIVIANA. Hace lo basico: lo mismo que el visor de windows, ves imagenes, haces zoom, puedes imprimir, y ya. SIMPLE.
Les recomiendo aquel visor por mientras (o por siempre, es bueno)

roger that

hay que educar a los hermanos chicos con respecto a la ingenieria social

POR MAS QUE LES DIGAN "ENTRA A VER ESTA IMAGEN" NO LO HAGAN

viene por mail tb la weaita

chaleco

gracias ya lo hice

ya me vacune pal 2006

Y ojo que ES una imagen, no es nada del tipo mifoto.jpg.exe, donde hay que ser bien bruto (ignorante informatico en realidad) como para creer que una foto puede tener extension .exe

Bien (Y)

Investigare ke tanto se puede hacer.

Grax jef@, listo

Guuuuuuuaaaau que cuacks

Graciela, a parchar mi lindo windows...

Quedare protegido

muchas gracia "tesesito"

vale por el dato

Vacunado

no tengo con q ver las fotos ...weno de ai veo...a vacunar!!!

es bien importante lo ke dice mas arriba de la extension .exe
osea ke hay ke educar con respecto a esto

pero voy de una a parchar wintendo

Vale por el dato. Se agradece.

Esop y feliz 2006 a todos los antronianos.

muxas gracias.. stoy vacunado...

thank´sss