В настоящее время число обнаруженных нами эксплойтов уязвимости в обработчике формата WMF превысило сотню, и новые эксплойты появляются ежечасно.
Но это еще не все. Последние из появившихся в сети эксплойтов показывают, что плохие ребята были чертовски заняты поиском путей обхода различных антивирусных продуктов. Таким образом, «темные силы» очень продуктивно провели свои зимние каникулы.
Мы, конечно же, постарались не отставать, и выпустили обновление эвристических алгоритмов, позволяющее детектировать не только все обнаруженные на данный момент эксплойты, но и некоторые способы использования уязвимости, пока в эксплойтах не реализованные. Просто так, на всякий случай.
В то же время, кое-кто, включая Microsoft, работает над патчами, устраняющими уязвимость. Наши коллеги из F-Secure писали насчет патча Ильфака Гильфанова, который в данный момент является наиболее популярным среди пользователей.
Также в интернете появилась бета-версия патча от Microsoft, который должен был официально выйти лишь 10 января. Microsoft рекомендовала пользователям «не обращать на него внимания», предупредив, что любые патчи, взятые из сомнительных источников, могут быть опасны.
Разумеется, нельзя использовать патч, пришедший из сомнительного источника вне зависимости от того, насколько он полезен. Заплатка Ильфака — единственная, которую мы можем пока порекомендовать пользователям. Однако сначала следует провести некоторые тесты, особенно если вы планируете устанавливать этот патч на большом количестве рабочих компьютеров. Вообще же Ильфак является автором популярного дизассемблера IDA и знает, что делает — проделанная им работа по устранению WMF-уязвимости вызывает уважение.
Наконец, следует всегда относиться с опаской к любому патчу от стороннего производителя, предназначен он для какой-либо старой уязвимости или же для новой уязвимости WMF. В прошлом под видом подобных патчей частенько распространялись вредоносные программы.
Новые эксплойты WMF-уязвимости