Jatkoa WMF-haavoittuvuuden suojautumisohjeisiin

  • Article

Eilen kirjoittamassani loppukäyttäjälle tarkoitetussa WMF-haavoittuvuuden suojautumisohjeessa mainittiin DEP-toiminnallisuuden (Data Execution Prevention) käyttäminen. Tietoturvayksikkömme viimeisimmän analyysin mukaan DEP-toiminnallisuus suojaa haavoittuvuuden hyödyntämiseltä ainoastaan, jos tietokoneesi suoritin tukee ns. laitteistopohjaista DEP-toiminnallisuutta. Seuraavien ohjeiden perusteella saat tietää, tukeeko tietokoneesi suoritin laitteistopohjaista DEPpiä:

1. Avaa Ohjauspaneeli (Control Panel) ja valitse Järjestelmä-kuvake (System). 
2. Valitse Lisäasetukset-välilehti (Advanced) ja napsauta sen jälkeen Suorituskyky-kohdassa (Performance) olevaa Asetukset-painiketta (Settings). 
3. Valitse näyttöön tulevasta ikkunasta Tietojen suorittamisen estämistoiminto -välilehti (Data Execution Prevention). Mikäli välilehden alareunassa on seuraava teksti, koneesi suoritin EI tue laitteistopohjaista DEP-toiminnallisuutta:

"Tietokoneesi suoritin ei tue laitteistopohjaista suorittamisen estämistä. Windows voi kuitenkin käyttää suorittamisen estämisohjelmistoa estämään joitain hyökkäyksiä." (engl. "Your computer's processor does not support hardware-based DEP. However, Windows can use DEP software to help prevent some types of attacks")

Jos teksti näkyy välilehden alareunassa, ei suoritin tue laitteistopohjaista DEP-toiminnallisuutta, eikä DEP-toiminnon käyttöönotto suojaa konetta WMF-haavoittuvuuden hyödyntämiseltä. Eli tällaisessa tapauksessa ei suojatumisohjeen kohtaa 3. kannata tehdä.

Lisätietoja DEPistä ja siihen liittyvistä asetuksista löytyy osoitteesta https://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx (englanninkielinen).   

Toinen asia, josta tulee aika paljon kysymyksiä, liittyy siihen, miten ohjeen kohdan 2. muutos peruutetaan. Vastaus tähän on: noudata kohdan 2. ohjetta muuten, mutta kirjoita suorita ikkunaan komento "regsvr32 %windir%\system32\shimgvw.dll" (jälleen ilman lainausmerkkejä). Komento rekisteröi DLL:n uudelleen, jolloin kaikki kuvankäsittelyohjelmat, ml. Picture and Fax Viewer -ohjelma, toimivat jälleen normaalisti. Kannattaa kuitenkin huomata, että tällöin kone on jälleen alttiina haavoittuvuuden hyödyntämiselle. 

Ja vielä viimeiseksi - haavoittuvuutta koskeva Security Advisory 912840 (https://www.microsoft.com/technet/security/advisory/912840.mspx) on jälleen päivitetty ja sisältää jonkin verran uutta tietoa FAQ-osuudessa.

Hauskaa ja Rattoisaa Uuden Vuoden 2006 vastaanottoa kaikille!