Уязвимость метафайла Windows , также называемая «Выполнение кода образа метафайла» и сокращенно MICE , представляет собой уязвимость безопасности , связанную с тем, как некоторые версии операционной системы Microsoft Windows обрабатывают изображения в формате метафайла Windows . Он позволяет выполнять произвольный код на затронутых компьютерах без разрешения их пользователей. Он был обнаружен 27 декабря 2005 г., а первые сообщения о зараженных компьютерах были объявлены в течение 24 часов. Microsoft выпустила высокоприоритетное обновление для устранения этой уязвимости через Центр обновления Windows 5 января 2006 года. [1] Атаки с использованием этой уязвимости известны как эксплойты WMF .
Уязвимость располагалась в gdi32.dll и существовала во всех версиях Microsoft Windows от Windows 3.0 до Windows Server 2003 R2 . Однако векторы атак существуют только в версиях Windows на базе NT (Windows NT, Windows 2000 , Windows XP и Windows Server 2003 ). Эксплойты , использующие уязвимость в системах на базе Windows NT , способствовали распространению различных типов вредоносных программ , обычно посредством попутных загрузок .
Из-за чрезвычайного воздействия эта ошибка получила премию Pwnie Award 2007 за «Массовое использование» и «Разрыв в Интернете».
Все версии операционной системы Microsoft Windows поддерживают графический стандарт Windows Metafile. Все версии от Windows 3.0 до Windows Server 2003 R2 содержат этот недостаток безопасности. [2] Однако Windows NT 4.0 и Windows XP , если не исправлены , более уязвимы, чем более ранние версии, поскольку их установка по умолчанию позволяет выполнять код метафайла Windows, что является источником уязвимости. [3] Более поздние версии Windows не имеют этой уязвимости. [2]
По словам эксперта по компьютерной безопасности Стива Гибсона , Windows NT 4 уязвима для известных эксплойтов, если включен предварительный просмотр изображения. [3] Операционные системы Windows, в которых не включен предварительный просмотр изображений или в которых включена аппаратная защита от выполнения данных (DEP) для всех приложений, не должны быть подвержены этому эксплойту. [4]
Операционные системы, отличные от Windows (например, macOS , Unix , Linux и т. д.), напрямую не затрагиваются. Однако система, отличная от Windows, может стать уязвимой, если на ней запущено программное обеспечение для просмотра файлов Windows WMF. Сюда может входить программное обеспечение, которое включает или клонирует библиотеку динамической компоновки ( DLL) интерфейса графического устройства (GDI) Windows [1] или запускает программы Windows или Windows через эмулятор или уровень совместимости . Например, Unix-подобная система, которая использует Wine для эмуляции Windows, может быть взломана . [5] Гибсон написал программу MouseTrap, которую его компания распространяет как бесплатное ПО , для обнаружения уязвимостей метафайла Windows в системах под управлением Windows и ее эмуляторов. [3]