Há cerca de duas semanas a Microsoft disponibilizou um update para solucionar um grave problema de vulnerabilidade relativo à visualização de imagens .JPG. Esse bug (apelidado de GDI+) pode ser o mais devastador de todos pois a simples visualização de uma imagem pode infectar o computador do usuário sem que ele saiba.
O update disponibilizado pela Microsoft soluciona o problema da vulnerabilidade (principalmente substituindo o arquivo gdiplus.dll por uma versão corrigida), eliminando com isso a vulnerabilidade que está presente em diversos produtos que utilizam este arquivo: do Office 2003 ao Visual Studio, passando por .NET Framework ao Internet Explorer, além do Windows Server 2003 e o Windows XP (exceto quem instalou o Service Pack 2).
Os seguintes produtos NÃO SÃO afetados por este bug: Windows NT 4 com SP6a, Windows 2000 com SP3 ou 4, Windows XP SP2, Windows 98, Windows 98 SE, Windows Me, Office 2003 SP1, Office 2000, Project 2000, Visio 2000, IE 5.01, IE 5.5, .NET Framework 1.0 SP3 ou 1.1 SP1. Veja a lista de produtos aqui.
As empresas de antivirus estão atualizando seus produtos para que eles sejam capaz de impedir que imagens .jpg infectem os computadores dos usuários. A Symantec, por exemplo, atualizou o Norton Antivirus e agora ele identifica uma imagem infectada como um trojan Bloodhound.Exploit.13.
Embora a Microsoft tenha corrigido o arquivo gdiplus.dll, muitas empresas desenvolveram produtos que utilizam suas próprias versões deste arquivo e mesmo que você tenha instalado a correção disponibilizada pela Microsoft, estes produtos continuam vulneráveis pois eles não são corrigidos pelo update da Microsoft. Com isso, se você utilizar estes programas para visualizar imagens .JPG infectadas, o seu computador será infectado.
Para você corrigir esse problema você deve atualizar os produtos que utilizam o arquivo gdiplus.dll, mas como fazer isso se você não sabe quais são estes produtos ?
Basta seguir os passos abaixo:
1. Verifique a lista dos programas afetados e instale o update disponibilizado pela Microsoft
2. Faça o download do arquivo gdiscan.exe (este aplicativo foi desenvolvido por terceiros e você encontra mais informações sobre ele aqui)
3. Execute o arquivo, confirme o drive aonde estão instalados os seus programas (usualmente C:) e clique no botão Scan.
4. Aguarde alguns segundos e aparecerá a lista de pastas que contém arquivos que podem estar vulneráveis
Para simplificar o seu uso, você pode ignorar os arquivos localizados nas pastas Windows$NtUniinstallKBxxxxx\ pois servem apenas quando vc irá desinstalar algum programa. Você deve se focar nas pastas aonde aparece a mensagem em vermelho com o termo Vulnerable version.
O GDIScan lista as pastas e programas que utilizam versões vulneráveis do arquivo gdiplus.dll (entre outros arquivos) e você deve procurar a correção para este bug no site da empresa que desenvolveu estes produtos. Exemplos:
C:\Program Files\Macromedia\Dreamweaver MX 2004\gdiplus.dll
Version: 5.1.3097.0 <-- Vulnerable version
Indica que o programa Dreamweaver MX 2004 contém um arquivo gdiplus.dll vulnerável e você deve acessar o site da Macromedia em busca da correção (se houver)
C:\Program Files\Ipswitch\WS_FTP Pro\GDIPLUS.DLL
Version: 5.1.3097.0 <-- Vulnerable version
Indica que o programa WS_FTP Pro contém um arquivo gdiplus.dll vulnerável e você deve acessar o site da Ipswitch em busca da correção (se houver)
C:\Program Files\Microsoft Works\GDIPLUS.DLL
Version: 5.1.3102.1229 <-- Vulnerable version
Indica que o programa Microsoft Works contém um arquivo gdiplus.dll vulnerável e que vc ainda não aplicou o update para este programa
Enquanto as empresas que desenvolveram os produtos que utilizam o arquivo gdiplus.dll vulnerável não lançaram um update par corrigir esse bug, uma solução temporária que pode ajudá-lo a se manter protegido é renomear o arquivo vulnerável de gdiplus.dll para gdiplus.old e copiar uma versão atualizada do gdiplus.dll para a mesma pasta aonde se encontra o gdiplus.old. Para encontrar uma versão do arquivo gdiplus.dll que não está vulnerável, basta verificar no GDIScan uma linha aonde não aparece nada após a versão do arquivo. Exemplo:
C:\Program Files\Microsoft Office\OFFICE11\GDIPLUS.DLL
Version: 6.0.3264.0
Como não há nada escrito após "6.0.3264.0", isso indica que esta versão do arquivo gdiplus.dll está atualizada.
Caso o aplicativo não funcione com essa versão do gdiplus.dll, você pode apagá-lo e renomear gdiplus.old para gdiplus.dll para voltar à versão anterior - sendo que é recomendável que você não abra nenhum arquivo .JPG neste aplicativo para que não seja infectado.
Embora não seja recomendado, você pode fazer o mesmo nas pastas aonde aparece a frase "Possibly vulnerable (Windows Side-By-Side DLL)" pois ali contém versões vulneráveis do arquivo gdiplus.dll. Nos teste que fizemos, copiamos uma versão atualizada do arquivo gdiplus.dll da pasta do Office 11 (versão 6.0.3264.0 do arquivo gdiplus.dll localizado em \Program Files\Microsoft Office\OFFICE11\) para duas pastas dentro de \WINDOWS\WinSxS que continham versões possivelmente vulneráveis - e após ignorar os avisos de proteção de arquivos do Windows XP e restartá-lo, tudo funcionou perfeitamente. De qualquer modo, não nos responsabilizamos por quaisquer problemas gerados com isso.
