Thema: Microsoft-Patch gegen trojanische Bilder

[SiLæncer]

Microsoft beseitigt mit einem angekündigten Update am November-Patchday als kritisch eingestufte Sicherheitsprobleme in der Grafik-Render-Engine von Windows. Nach dem Einspielen des Patches ist ein Rechner-Neustart erforderlich. Das Security Bulletin mit der Bezeichnung MS05-053 beseitigt mehrere Fehler bei der Behandlung von wmf- und emf-Dateien, durch den Angreifer Code in das System einschleusen und zur Ausführung bringen könnten. Bei zwei der Fehler handelt es sich um Heap-Overflows, einen davon hat die Sicherheitsfirma eEye bereits vor 224 Tagen bei Microsoft gemeldet.

Bei diesen Dateiformaten handelt es sich um Windows-spezifische Vektorgrafiken, die auch Bitmap-Anteile enthalten können. Zum Auslösen des Fehlers genügt schon das Anzeigen einer manipulierten Grafik beispielsweise durch Outlook oder den Internet Explorer. In der Sicherheitsmeldung zeigen die Redmonder auch einen Workaround für Outlook auf: hier sollen Anwender das Anzeigen von HTML-E-Mails abschalten -- wird nur der Text der E-Mail angezeigt, können möglicherweise darin eingebettete böswillige Grafiken keinen Schaden mehr anrichten -- zumindest solange sie der Anwender nicht explizit öffnet. Diese Einstellung des Mailprogramms ist generell eine gute Idee.

Betroffen von dem Sicherheitsleck sind Windows 2000 mit Service Pack 4, Windows XP mit Service Pack 1 und 2, die 64-Bit-Versionen von Windows XP sowie sämtliche Varianten von Windows Server 2003 -- mit und ohne Service Pack. Der Fehler findet sich nicht in Windows 98, Windows 98 Second Edition oder Windows Millenium Edition.

Wie üblich bringt der Softwaregigant auch ein aktualisiertes Malware Removal Tool heraus, das einige der in freier Wildbahn befindlichen Schädlinge von der Festplatte entfernen kann. Da in der jüngeren Vergangenheit sehr kurz nach Veröffentlichung der Microsoft Security Bulletins schon Exploits für die jeweiligen Lücken im Netz aufgetaucht sind und es sich bei der geschlossenen Lücke um eine schwerwiegende handelt, ist allen Windows-Benutzern ein umgehendes Update anzuraten; es bietet sich auch an, dem automatischen Update vorzugreifen und die Windows-Update-Seite "manuell" zu besuchen.

Die eEye-Seiten sind derzeit aus unbekannten Gründen nicht mehr erreichbar.

Siehe dazu auch:

    * Übersicht des November-Patches von Microsoft
    * Advisories von eEye

Quelle und Links : http://www.heise.de/newsticker/meldung/65914

[SiLæncer]

Es ist ein erstes Beispiel aufgetaucht, wie die Grafik-Schwachstelle ausgenutzt werden kann.

Am Dienstag veröffentlichte Microsoft im Rahmen des Security Bulletins MS05-053 ( wir berichteten ) Informationen über eine Anfälligkeit von Windows-Komponenten für manipulierte WMF- und EMF-Grafiken. Inzwischen ist Beispiel-Code aufgetaucht, der die Ausnutzung dieser Sicherheitslücke demonstriert.

Der Antivirus-Hersteller Trend Micro berichtet über eine etwa 3,6 Megabytes große Grafik-Datei, die den Windows Explorer zum Absturz bringt. Es handelt sich dabei um einen genannten "Proof-of-Concept" (PoC), also um eine Demonstration der Machbarkeit. Solche Demo-Beispiele sind jedoch oft die Basis für richtige Schädlinge, die kurze Zeit später auftauchen.

Antivirus-Hersteller haben zum Teil bereits Signaturen in ihre Virendefinitionen eingebaut, die vor der Ausnutzung dieser Sicherheitslücke schützen sollen, indem sie entsprechende Dateien erkennen. Dazu müssten Anwender und Administratoren jedoch das Scannen von WMF- und EMF-Dateien unter Umständen erst einmal aktivieren, falls ihr Virenscanner nicht auf "alle Dateien" eingestellt ist.

Bei Symantec-Produkten (etwa Norton Antivirus) soll das Muster "Bloodhound.Exploit.45" eine generische Erkennung schädlicher Grafik-Dateien ermöglichen. Das Internet Storm Center berichtet jedoch über viele Fehlalarme in harmlosen Dateien, die unter anderem die Benutzung von Excel erschweren oder gar verhindern. Als Ausweg bleibt EMF-Dateien bis zur Bereitstellung eines korrigierten Updates auf die Ausnahmeliste zu setzen.

Warten Sie nicht, bis der erste Schädling auftaucht, der die Sicherheitslücke MS05-053 ausnutzt. Installieren Sie umgehend das Sicherheits-Update. Unternehmen und Organisationen, die mit dem Software Update Service (SUS) arbeiten, haben derzeit Probleme mit dem Bezug des Updates.

Quelle : www.pcwelt.de