Microsoft publica un pedaç d'emergència per a la vulnerabilitat dels fitxers WMF a Windows

5 de gener del 2006

Cinc dies abans del previst, Microsoft va publicar aquest dijous (5) un pedaç per a corregir la vulnerabilitat en els meta-arxius de Windows (WMF per les seves sigles en anglès) descoberta fa més d'una setmana i que deixa oberta la porta perquè algun intrús controli de forma remota qualsevol equip amb Microsoft Windows instal·lat. L'efectivitat d'aquest pegat "oficial" no ha estat confirmada encara.

Microsoft ha posat a disposició actualitzacions per a totes les versions del sistema operatiu Windows que suporta a l'actualitat. No obstant això, les versions Windows 98, Windows 98 Second Edition i Windows Millenium Edition no posseïxen de moment pedaços per a aquesta vulnerabilitat. Segons Microsoft, aquestes versions tenen el component de programari vulnerable però la falla "no és crítica perquè no ha estat identificat algun vector atacant explotable que pugui donar com resultat una classificació de severitat crítica per a aquestes versions".

Les versions més recents de Windows, entre elles Windows XP i Windows Server 2003, depenent de la seva configuració, poden demanar-los als usuaris descarregar o instal·lar aquesta actualització de forma automàtica per a aquells ordinadors connectats a internet. Aquest és el mètode preferit per a protegir el teu ordinador d'aquesta vulnerabilitat.

Als altres usuaris se'ls recomana visitar el lloc Microsoft Windows Update per a obtenir aquest pedaç de seguretat, si no poden descarregar-lo o si no estan segurs d'haver-lo obtingut.

Els mètodes anteriors de protecció incloïen treure del registre l'arxiu shimgvw.dll per a deshabilitar el maneig dels meta-arxius de Windows, segons un butlletí de seguretat de la companyia de Bill Gates. Degut al fet que aquest mètode no corregeix el problema de fons, és improbable que sigui segueixi recomanant-se.

Altres mètodes incloïen el pegat no oficial publicat pel rus Ilfak Guilfanov, el qual no era recomanat per Microsoft, però servia com una mesura per a mitigar els efectes immediats de la falla mentre es publicava una actualització oficial. El mateix Guilfanov ha fet notar que el seu pedaç ja no és necessari.

El passat 28 de desembre, Microsoft havia trencat el silenci sobre la falla, que va reconèixer com "greu" i havia anunciat que el pegat anava a sortir el dia 10 de gener, com part de les habituals actualitzacions del segon dimarts de cada mes. Alan Paller, de l'Institut SANS, especialitzat en mètodes de seguretat per a ordinadors i que opera l'Internet Storm Center, havia criticat a la gegant de programari Microsoft: "La tardança de Microsoft és inexcusable. No hi ha altra excusa a part d'incompetència i negligència".