Säkerhetsgemenskapen har satt larmklockorna att ringa eftersom en ny sårbarhet för Windows har upptäckts. Felet kan utnyttjas med hjälp av en specialgjord Windows Metafile-fil (.wmf) för att få full kontroll över måldatorn.
En Windows Metafile (WMF)-bild är ett 16-bitars metafilformat som kan innehålla både vektorinformation och bitmappsinformation. Problemet påverkar Windows 98, ME, Windows 2000, Server 2003 och Windows XP.
Antivirusproducenter är särskilt oroade eftersom viruset skapar en något annorlunda version av sig själv varje gång det replikerar. Varje iteration är av slumpmässig storlek, kan använda icke-wmf-filformat och använder andra knep för att se ut som något annorlunda.
Traditionellt fungerar antivirusprogram genom att matcha en viss ”signatur” för en misstänkt fil mot en databas med känd skadlig programvara. Genom att mutera gör det nya viruset det så mycket svårare. Enligt Sans Internet Storm Center ”kommer det sannolikt att bli svårt att utveckla mycket effektiva signaturer (för att identifiera det muterande viruset) på grund av strukturen hos WMF-filerna”.
Ännu mer oroande ur Microsofts synvinkel är att exploateringen, tillsammans med källkoden, har utvecklats och gjorts tillgänglig på Internet via den så kallade full disclosure community. De flesta säkerhetsutredare gör först sina resultat tillgängliga för den berörda leverantören för att ge den tid att åtgärda problemet innan de publicerar detaljer på Internet där de kan plockas upp och användas av hackare. Microsoft säger att de undersöker utnyttjandet och säger att de har funnit att sårbarheten endast kan utnyttjas om ett tilltänkt offer övertalas att besöka en webbplats eller öppna ett e-postmeddelande och klicka på en länk.
Enligt Luis Corrons på Panda Software, ”Detta är en av de allvarligaste sårbarheterna som nyligen upptäckts. Att bara besöka en webbsida med en fil skapad för att utnyttja detta säkerhetsproblem kan se en dator infekterad av vilken typ av skadlig kod som helst.
Microsoft säger att det arbetar på en fix även om det i skrivande stund inte fanns någon patch tillgänglig från företaget. SANS erbjuder en inofficiell lappa men med riskbördan som faller på användaren.
