Szerzej na temat wspomnianego exploita pisaliśmy w artykule "W Windows znowu zieje dziura - i to jaka!". Przypomnijmy jedynie, iż luka, którą wykorzystuje, jest bardzo groźna, gdyż pozwala na przejęcie pełnej kontroli nad komputerem lub zarażenie go koniem trojańskim.

Do uruchomienia exploita może dojść w sytuacji, gdy użytkownik wchodzi na stronę WWW, w której kodzie znajduje się odwołanie do odpowiednio spreparowanego pliku WMF - może być to również JPEG, GIF lub inny plik graficzny, któremu złośliwy użytkownik zmienił rozszerzenie.

Zobacz również:

• Nearby Sharing od Google - wygodny sposób na przesyłanie plików

Pracownicy Instytutu SANS zachęcają do instalowania nieoficjalnego patcha: dostępny jest on pod tym adresem. Ich apel spowodowany został falą cyberataków wykorzystujących wspomnianą dziurę - wykryto m.in. krążące po Sieci wiadomości e-mail zatytułowanie "happy new year", z dołączonym plikiem graficznym "HappyNewYear.jpg", będącym tak naprawdę spreparowanym plikiem WMF. Mimo iż plik posiada rozszerzenie JPEG, Windows rozpoznaje jego zawartość jako WMF i przystępuje do wykonywania zawartego w nim kodu.

Mikko Hypponen, przedstawiciel antywirusowej firmy F-Secure ostrzega także, iż do uruchomienia kodu wcale nie wymagana jest interakcja użytkownika (tak jak opisuje to Microsoft - już samo przeglądanie folderu, w którym znajduje się spreparowany plik, może rozpocząć ten proces.

Łata aplikowana jest do wszystkich procesów wykorzystujących bibliotekę user32.dll i blokuje wykonanie funkcji Escape() w bibliotece gdi32.dll. W każdej chwili można ją odinstalować - jest dostępna na liście zainstalowanych w systemie programów pod nazwą "Windows WMF Metafile Vulnerability HotFix". Powinna zadziałać w systemach Windows 2000, Windows XP (edycje 32- i 64-bitowe) oraz Windows Server 2003.

Autor patcha, Ilfak Guilfanov, zaleca niezwłoczne pobranie i zainstalowanie oficjalnej łaty Microsoftu, kiedy tylko zostanie ona udostępniona przez giganta z Redmond.