Thema: WMF-Bilder infizieren Windows-PCs

[SiLæncer]

Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll.

Bei einem Test der heise-Security-Redaktion mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner den Aufruf des Task Managers. Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.

Da für die Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.

Siehe dazu auch:

    * New WMF 0-day exploit Blogeintrag von F-Secure
    * Windows WMF 0-day exploit in the wild Meldung des Internet Storm Center


Quelle und Links : http://www.heise.de/security/news/meldung/67794

[SiLæncer]

Der gestern gemeldete Zero-Day-Exploit für eine WMF-Lücke in Windows hat sich offenbar schnell verbreitet und ist auch bereits öffentlich verfügbar. So versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren. Seit heute morgen kursiert auch eine angebliche Google-Mail-Grußkarte von "Claudia" mit einem präparierten Link. Ein unbedachter Klick darauf öffnet eine Seite, die ein WMF-Bild nachlädt und je nach Konfiguration automatisch in der verknüpften Anwendung anzeigt. Dabei ist es zwar grundsätzlich egal, mit welchem Browser der Anwender die Seite ansurft. Der Internet Explorer öffnet aber in der Regel ein WMF-Bild ohne Nachfrage in der Bild- und Faxanzeige, was zur sofortigen Infektion führt. Andere Browser fragen erst nach, womit das Bild geöffnet werden soll -- das konkrete Verhalten hängt vom jeweiligen System ab.

Ursache der Sicherheitslücke ist ein Fehler in der Bibliothek SHIMGVW.DLL, die von mehreren Anwendungen verwendet wird -- neben der Bild- und Faxanzeige auch vom Windows Explorer und Google Desktop. Im Windows Explorer genügt bereits die Voransicht eines präparierten Bildes, um den Schad-Code zu starten. Microsoft hat zu der Sicherheitslücke ein eigenes Advisory veröffentlicht, ein Patch ist aber noch nicht in Aussicht. Außer wenig hilfreichen Standardtipps (Firewall einschalten, Updates einspielen, Virenscanner installieren) schlagen die Redmonder vor, die verwundbare Bibliothek zu deregistrieren, damit die Anwendungen sie nicht mehr aufrufen können. Für das Deregistrieren der DLL sorgt in der Eingabeaufforderung (oder unter Ausführen) der Befehl:

regsvr32 -u %windir%\system32\shimgvw.dll

Nach einem Neustart funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, die die verwundbare DLL verwenden   leider gilt dies nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind. Wann Microsoft ein Update zur Verfügung stellt, ist nicht bekannt. Sobald dies aber installiert ist, kann der Anwender die Bibliothek wieder registrieren:

regsvr32 %windir%\system32\shimgvw.dll

Leider erkennen aktuell noch nicht alle Virenscanner den Schad-Code zuverlässig, was auch daran liegen mag, dass schon diverse Mutationen des Originals im Umlauf sind. Auch das Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.

Siehe dazu auch:

    * Update on Windows WMF 0-day (NEW) Meldung des Internet Storm Centers
    * Be careful with WMF files Weblog von F-Secure
    * Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution Fehlerreport von Microsoft


Quelle und Links : http://www.heise.de/security/news/meldung/67814

[Jürgen]

Bei mir (auf Win98SE) gibt's diese DLL nicht  

Kein Fax-Viewer installiert.

Allerdings erscheint mir das Ganze als ein Musterbeispiel, wie blauäugig man programmieren kann.
In einer Routine zur Anzeige eines selbst definierten Bildformats daraus Zugriffe auf's System zuzulassen ist m.e. nicht mehr als grobe Fahrlässigkeit einzustufen, sondern als bedingter Vorsatz oder komplette Ahnungslosigkeit / Pfusch ! ! !

Absoluter Murks.

[SiLæncer]

Die WMF-Sicherheitslücke und deren Auswirkungen beschäftigt weiterhin Anwender und Sicherheitsspezialisten. Offenbar nutzen mittlerweile über tausend Web-Sites die Schwachstelle, um Ad- und Spyware zu verbreiten, über fünfzig verschiedene; präparierte WMF-Dateien sind dabei in Umlauf. Viele der WMF-Exploits installieren einen angeblichen Spyware-Spürhund, der regelmäßig Warnmeldungen produziert. Für die Entfernung der angeblich gefundenen Schädlinge soll man dann die Vollversion des Produktes erwerben.

Die Sicherheitspezialisten von WebSense wollen die Aktivitäten zu einer dubiosen Firma namens Exfol zurückverfolgt haben, die im Süd-Pazifik registriert ist. Websense dokumentiert die Aktivitäten auf einem infizierten System in einem Video. Wie man die Plagegeister tatsächlich wieder los wird, hängt wohl sehr stark vom Einzelfall ab; die besten Erfolgsaussichten dürften bewährte Anti-Spyware-Programme bieten.

Derzeit ist die Ursache der Lücke noch nicht restlos geklärt. Ein Advisory des US-CERT will einen Buffer Overflow als Ursache ausgemacht haben. Der Sicherheitsdienstleister Secunia beschreibt dagegen spezielle WMF-Eigenschaften, die der Exploit missbraucht. So bestehen WMF-Bilder nicht nur aus reinen Vektor- und Rasterdaten, sondern aus einer Serie von Befehlen an das Graphics Device Interface (GDI). Diese Befehle unterliegen dabei keinen Einschränkungen.

Unglücklicherweise verarbeitet die GDI aber auch Befehle (Escape-Funktionen) zur Interaktion von Bildern mit Systemressourcen. So stoppt die Escape-Funktion SETABORTPROC etwa einen Druckauftrag. Da die Escape-Funktionen der GDI vollen Zugriff auf das System haben und das WMF-Bild quasi Vollzugriff auf die GDI, kann ein manipuliertes Bild beliebigen Code in das System schleusen und starten. Im aktuellen Fall führt die Escape-Funktion aufgrund eines Verarbeitungsfehlers den in die präparierten Bilder eingebetteten Schad-Code direkt aus. Das spricht aber nicht gegen einen Buffer Overflow: immerhin schlägt auf Windows-Systemen mit XP SP2 und AMD64-Prozessor die Datenausführungsverhinderung (DEP) an und verhindert die Infektion des Systems.

Um PCs vor einer Infektion mit bösartigen WMF-Dateien zu schützen, suchen viele Antivirenprogramme per Heuristik nach SETABORTPROC-Sequenzen in Bildern. Dabei prüfen sie aber nicht, ob wirklich Schadcode vorhanden ist. Auf die gleiche Weise versuchen auch die Hersteller von Intrusion-Detection-Systemen ihre Netze zu schützen. Da SETABORTPROC aber eine dokumentierte Funktion ist, kann sie durchaus auch in harmlosen Bildern vorkommen.

Microsoft hat sein Advisory zu der Lücke aktualisiert und untersucht weiterhin, welche Anwendungen noch betroffen sein können. In Word-Dokumenten eingebettete Bilder stellen nach Meinung der Redmonder keine Bedrohung dar, bei der MSN-Desktop-Suche prüft man derzeit noch. Berichten zufolge soll auch IBMs Lotus Notes die verwundbare Bibliothek SHIMGVW.DLL benutzen -- sogar dann, wenn der Anwender diese deregistriert hat. Als Workaround empfehlen einige CERTs, an den Gateways alle Grafiktypen zu blocken. Das alleinige Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.

Bis Microsoft einen Patch bereitstellt, sollten Anwender und Administratoren auf PCs mit Windows XP und Server 2003 den Windows Picture and Fax Viewer (Shimgvw.dll) mit dem Kommandozeilenbefehl

regsvr32 -u %windir%\system32\shimgvw.dll

deaktivieren. Dies lässt sich nach dem Erscheinen und Einspielen eine Patches wieder rückgängig machen.

Siehe dazu auch:

    * WMF-Exploit tarnt sich als Google-Grußkarte Meldung auf heise Securiy
    * WMF-Bilder infizieren Windows-PCs Meldung auf heise Securiy
    * Musings and More WMF Information Meldung des ISC
    * Security Advisory (912840) von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/67833

[SiLæncer]

Die Hersteller von Antiviren-Software bemühen sich nach Kräften, die Verbreitung des WMF-Exploit einzudämmen und liefern Signaturen aus, die präparierte WMF-Bilder erkennen. Durch einen Fehler in der Grafik-Engine von Windows kann durch das Öffnen von WMF-Bildern fremder Code ausgeführt und beispielsweise Spyware installiert werden. Dazu genügt mit dem Internet Explorer das Öffnen einer Web-Seite, die derartig präparierte Bilder einbindet. Auch die Dateivorschau für eine bereits auf dem System befindliche Datei kann die Infektion auslösen.

Andreas Marx von AV-Test hat einen Kurztest mit 73 verschiedenen Exemplaren durchgeführt, die bereits im Internet verbreitet sind. Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und konnten eine Infektion verhindern. eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp über 80 Prozent identifiziert. Mit weniger als 20 erkannten Exemplaren ist die Erkennungsleistung von Command, F-Prot, Ewido, eSafe, Ikarus und VBA32 derzeit noch mangelhaft. Normans Viren-Scanner versagte in diesem Test völlig und monierte keine einzige Datei.

Wichtig ist es, den Viren-Scanner beziehungsweise -Wächter so einzustellen, dass er alle Dateien unabhängig von der Dateiendung untersucht. Denn auch wenn die Bilder eine andere Endung tragen, sich also beispielsweise als JPG-Bild tarnen, erkennt Windows den Dateityp WMF und aktiviert den verwundbaren Windows Picture and Fax Viewer. Da derzeit die meisten infektiösen Websites noch mit der Dateiendung WMF arbeiten, ist es jedoch durchaus sinnvoll, dieses Dateiformat auf Web-Proxies von Firmen vorläufig zu blockieren, auch wenn das natürlich keinen echten Schutz verspricht.

Siehe dazu auch:

    * WMF-Exploit tarnt sich als Google-Grußkarte Meldung auf heise Security
    * WMF-Bilder infizieren Windows-PCs Meldung auf heise Security
    * Weitere Details zur WMF-Lücke auf heise Security
    * Security Advisory (912840) von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/67848

[SiLæncer]

Neujahrsgrüße via E-Mail können eine böse Überraschung mit sich bringen: Die Antivirenexperten von F-Secure warnen vor "Happy New Year"-E-Mails, die als Anhang einen neuen WMF-Exploit mit sich bringen. Über einen Fehler in der Render-Engine von Windows wird beim Öffnen der als JPG-Bild getarnten Datei HappyNewYear.jpg eine Hintertür auf dem Rechner installiert. Das funktioniert, weil das proprietäre WMF-Format es gestattet, Funktionen zu registrieren und aufzurufen.

Der Schadcode ist nicht direkt mit den bisherigen WMF-Exploits verwandt, sodass die bereits existierenden Viren-Signaturen womöglich nicht ansprechen. Auch von den bisherigen Exploit-Familien sind ausgefeiltere Versionen erschienen, die laut Internet Storm Center von Viren-Scannern noch nicht erkannt werden.

Die WMF-Exploits sind äußerst infektiös: Liegt die Datei einmal auf der Festplatte, genügt unter Umständen schon das Vorschaubild des Explorers, um die Schadroutine auszulösen. Auch Hintergrunddienste, die wie Google-Desktop automatisch Vorschaubilder produzieren, aktivieren sie. Des weiteren genügt es, mit dem Internet Explorer eine Web-Seite mit einem präparierten WMF-Bild zu öffnen, um sich Ärger einzuhandeln. Auch mit anderen Browsern ist eine Infektion möglich, wenn der Anwender das Öffnen der WMF-Datei bestätigt. F-Secure berichtet darüber hinaus über einen WMF-Wurm, der sich über den MSN Messenger verbreitet.

Microsoft hat das Problem zwar bestätigt, aber bisher noch keinen Patch herausgebracht. Der in dem Advisory vorgeschlagene Workaround, die verwundbare Bibliothek zu deaktivieren, schließt nicht alle Einfallstore. So können Programme die Bibliothek nach wie vor direkt laden oder die Bibliothek wieder registrieren. Trotz dieser Lücken ist die Schutzmaßnahme natürlich als erste Hilfe sinnvoll.

Microsoft bietet Kunden in den USA eine kostenlose 24-Stunden-Hotline zu WMF-Problemen an. Für Deutschland, Österreich und die Schweiz verweist der Konzern auf die ebenfalls kostenlose allgemeine Sicherheits-Hotline, die jedoch nur zu Bürozeiten erreichbar ist.

Weil ein offizieller Patch von Microsoft noch nicht absehbar ist, hat Ilfak Guilfanov, der Entwickler des Disassemblers IDA Pro, kurzerhand einen eigenen erstellt. Er klinkt sich in alle Prozesse ein, die die Bibliothek user32.dll laden und deaktiviert dann im Speicher den Exploit-Mechanismus. Dazu blockiert er Aufrufe der Escape-Funktion von gdi32.dll, die versuchen, den Parameter SETABORTPROC zu setzen. Damit funktioniert die Anzeige von WMF-Dateien weiterhin, die Exploits werden jedoch abgefangen. Das Internet Storm Center hat den Patch untersucht und bestätigt seine Wirksamkeit für Windows XP und 2000. Es stellt den Patch nach intensiver Analyse selbst zum Download bereit (MD5: 99b27206824d9f128af6aa1cc2ad05bc).

Siehe dazu auch:

    * WMF-Bilder infizieren Windows-PCs auf heise Security
    * WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
    * Weitere Details zur WMF-Lücke auf heise Security
    * WMF FAQ des Internet Storm Centers
    * Security Advisory (912840) von Microsoft


Quelle und Links : http://www.heise.de/security/news/meldung/67866

[SiLæncer]

Update:
Auf der Seite des Entwicklers findet sich bereits eine aktuellere Version, die eine mehrfache Installation verhindern und auch mit Windows 2000 SP4 funktionieren soll. Diese wurde allerdings noch nicht vom ISC begutachtet.

Quelle : www.heise.de

[SiLæncer]

heise Security stellt auf dem c't-Browser- und -E-Mail-Check Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im Windows Metafile Format (WMF), dessen Design noch aus den achtziger Jahren stammt, können Code enthalten, den das System in bestimmten Situationen ausführt – beispielsweise wenn das Rendern der Datei fehlschlägt. Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen Code via SETABORTPROC ausführen zu lassen.

Diese Lücke nutzen bereits tausende von Web-Sites und diverse Würmer aus, um Windows-Systeme mit Spyware und Hintertüren zu kompromittieren. Die Browsercheck-Demo hingegen ist völlig harmlos und startet über eine spezielle Web-Seite nur den Windows-Taschenrechner. Beim Internet Explorer geschieht dies automatisch, bei Firefox & Co muss der Anwender zuvor noch das Öffnen der Datei bestätigen. Beim c't-E-Mail-Check können Sie sich eine als JPG getarnte WMF-Datei zusenden lassen, die beim Öffnen ebenfalls den Windows-Taschenrechner startet. Vorsicht beim Abspeichern der Datei: Um den eingebetteten Code zu starten, genügt bereits die Verzeichnisansicht des Windows Explorers. Die Demo wurde unter Windows XP mit Service Pack 2 und allen Patches getestet.

Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov. Diesen Patch hat das Internet Storm Center einer intensiven Quellcode-Analyse unterzogen und bestätigt seine Wirksamkeit. Der provisorische Patch deaktiviert nur die Funktion zum Setzen spezieller Abbruch-Handler, die Anzeige von WMF-Dateien funktioniert weiterhin. Er lässt sich beim Erscheinen eines offiziellen Microsoft-Patches rückstandsfrei entfernen.

Siehe dazu auch:

    * Neujahrsgrüße nutzen WMF-Lücken auf heise Security
    * WMF-Demo des c't-Browserchecks
    * WMF-Testmail des c't-Emailchecks

Quelle und Links : http://www.heise.de/newsticker/meldung/67884

[SiLæncer]

Software-Bausatz könnte viele Schadprogramme verursachen

Das Virenlabor von Panda Software berichtet, dass im Internet eine Bausatz-Software entdeckt wurde, um auf leichte Art das von Microsoft bislang nicht geschlossene WMF-Sicherheitsloch ausnutzen zu können. Daher befürchtet Panda Software schon bald eine Vielzahl von Schadprogrammen, Viren und Würmern, die sich das WMF-Sicherheitsleck in Windows zu Nutze machen.

Die kürzlich bekannt gewordene Sicherheitslücke in Windows 2000, XP und Windows Server 2003 lässt sich von Angreifern ausnutzen, indem diese ihren Opfern präparierte WMF-Bilddateien unterschieben. Mit der von Panda Software entdeckten Bausatz-Software wird es Angreifern besonders einfach gemacht, entsprechende Schadroutinen zu erstellen. Daher wird befürchtet, dass schon in Kürze eine Flut von Schadprogrammen durch das Internet schwappt, die allesamt die von Microsoft bislang nicht geschlossene WMF-Sicherheitslücke ausnutzen.

Microsoft rät derzeit als Notlösung vorerst nur dazu, das Anzeigen von WMF-Bildern ganz abzuschalten. Der IDA-Pro-Entwickler Ilfak Guilfanov bietet hingegen bereits einen Hotfix zum Download, der weiterhin alle WMF-Dateien anzeigt, ohne dass das Sicherheitsrisiko weiter bestehen soll. Dazu leitet Guilfanovs Software entsprechende API-Aufrufe um, so dass sich das Sicherheitsloch nicht mehr ausnutzen lässt.

Quelle und Links : http://www.golem.de/0601/42464.html

[SiLæncer]

Der Redmonder Konzern hat für den Januar-Patchday am kommenden Dienstag, den 10.01.2006, ein Sicherheitsupdate angekündigt, das die Lücke in der shimgvw.dll beim Anzeigen präparierter WMF-Dateien schließen soll. Der Patch sei fertig entwickelt und werde derzeit in die verschiedenen Sprachversionen von Windows übersetzt und intensiv getestet, so das Unternehmen in einer Sicherheitsmeldung.

Wer solange nicht warten möchte, kann bis zum Erscheinen des Patches den vorläufigen Patch von Ilfak Guilfanov, dem Chefentwickler des Disassemblers IDA Pro, einspielen. Dieser blockt alle bisher bekannten Variationen der WMF-Exploits ab. Ob Ihr System verwundbar ist, können Sie mit dem c't-Browsercheck sowie dem c't-E-MailCheck überprüfen.

Das Update von Microsoft wird von Tag zu Tag dringlicher. Seit dem Bekanntwerden der Lücke am 28. Dezember vergangenen Jahres tauchten zahlreiche neue Varianten des Exploits auf vielen Webseiten und in diversen Spam-Mails auf. Nun hat Panda Software auch ein Werkzeug mit dem Namen WMFMaker entdeckt, das automatisch beliebigen (Schad-)Code so in WMF-Dateien einbetten kann, dass dieser über das in allen Windows-Versionen vorhandene Sicherheitsloch eingeschleust und ausgeführt werden kann.

Siehe dazu auch:

    * Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution, Security Advisory von Microsoft
    * Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check auf heise Security
    * Neujahrsgrüße nutzen WMF-Lücken auf heise Security
    * Virenschutz gegen WMF-Exploit auf heise Security
    * Weitere Details zur WMF-Lücke auf heise Security
    * WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
    * WMF-Bilder infizieren Windows-PCs auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/67912

[SiLæncer]

Der inoffizielle WMF-Patch von Ilfak Guilfanov ist offenbar sehr beliebt: Der Provider musste Guilfanovs Seite Hexblog aufgrund massiven Traffics vom Netz nehmen. Um die große Nachfrage trotzdem befriedigen zu können, hat er nun eine temporäre Seite aufgesetzt, auf der Download-Mirrors verlinkt sind. Dort ist inzwischen die vierte überarbeitete Version des Patches verfügbar; auch MSI-Installer zur Einrichtung des Patches etwa in Unternehmensnetzen stehen dort bereit.

In einem weiteren FAQ-Update des WMF-Security-Advisory rät Microsoft allerdings davon ab, Patches von Drittanbietern einzuspielen, da das Unternehmen keine Gewähr für deren korrekte Funktion übernehmen könne. Dass die eigenen Patches aus Redmond trotz intensiver Tests teilweise auch Probleme verursachen, erwähnt das Unternehmen in diesem Zusammenhang jedoch nicht.

In einigen Situationen scheint der Patch allerdings tatsächlich Probleme mit Druckern in Netzwerken zu bereiten. Es handelt sich dabei wahrscheinlich aber um schlampige Treiberprogrammierung bei dem betroffenen Samsung ML-1210 – einem Arbeitsplatz-GDI-Drucker, der eher nicht für Unternehmensnetze geeignet ist.

Siehe dazu auch:

    * Mirror-Seite mit Download-Links für den inoffiziellen WMF-Patch
    * Microsoft kündigt Patch für WMF-Lücke an auf heise Security
    * Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check auf heise Security
    * Neujahrsgrüße nutzen WMF-Lücken auf heise Security
    * Virenschutz gegen WMF-Exploit auf heise Security
    * Weitere Details zur WMF-Lücke auf heise Security
    * WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
    * WMF-Bilder infizieren Windows-PCs auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/67951

[SiLæncer]

Noch Donnerstag Nacht will Microsoft den Patch für die WMF-Lücke in Windows bereit stellen. Man sei mit dem Testen früher als geplant fertig geworden und Kunden hätte auf eine frühestmögliche Veröffentlichung gedrängt. Der Begriff Notfall-Veröffentlichung taucht in der Ankündigung nicht auf – Microsoft geht nach wie vor davon aus, dass die Schwachstelle nur begrenzt ausgenutzt würde. Das sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings anders und warnt vor "Kriminelle[n] Attacken über die Schwachstelle in Windows". "Nach Erkenntnissen des BSI wird die kürzlich ausgemachte Sicherheitslücke im Microsoft Betriebssystem Windows mittlerweile aktiv zur Verbreitung von Schadsoftware genutzt." Über 200 verschiedene, bösartige WMF-Dateien seien bereits bekannt und täglich erschienen neue. Auch den Einsatz von Trojanischen Pferden, die Angriffe auf Zugangsdaten für Online-Banking ermöglichen, habe man bereits mehrfach registriert.

Auf alle Fälle ist ein schnellstmögliches Update aller betroffenen Systemen anzuraten. Dazu gehören Windows 2000, XP und 2003 Server. Windows 98 (SE) und ME werden nicht mehr versorgt, obwohl die verwundbare Bibliothek auch dort vorhanden ist, da Microsoft für die Altlasten nur noch als kritisch erachtete Lücken fixt. Diese Einstufung sei aber nicht erforderlich, da man dort kein kritisches Einfallstor gefunden habe. Ähnliches gilt für Nutzer von NT 4, für das Microsoft ebenfalls keinen Patch veröffentlicht.

Wer die Bibliothek für den Windows Picture and Fax Viewer (Shimgvw.dll) deregistriert hatte, kann sie anschließend über den Kommandozeilenbefehl

regsvr32 %windir%\system32\shimgvw.dll

wieder registrieren. Den inofiziellen Patch von Ilfak Guilfanov sollte man vor dem Eisnpielen des offiziellen Updates deinstallieren. Dies geht einfach in der Systemsteuerung unter Software. Auf dem c't-Browsercheck können Sie testen, ob die Sicherheitslücke beseitigt wurde.

Siehe dazu auch:

    * Security Bulletin MS06-001 von Microsoft
    * Demo zum WMF-Sicherheitsproblem des c't-Browserchecks
    * Demo zum WMF-Sicherheitsproblem des c't-Emailchecks
    * Microsoft kündigt Patch für WMF-Lücke an auf heise Security
    * Neujahrsgrüße nutzen WMF-Lücken auf heise Security
    * Virenschutz gegen WMF-Exploit auf heise Security
    * Weitere Details zur WMF-Lücke auf heise Security
    * WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
    * WMF-Bilder infizieren Windows-PCs auf heise Security


Quelle und Links : http://www.heise.de/newsticker/meldung/68033

[SiLæncer]

[Update]:

Der Patch ist per Windows Update und über Microsofts Security-Bulletin als Einzelpakete für Windows 2000 SP4, Windows XP SP1 und SP2, Windows XP Professional 64 Bit Edition, Windows Server 2003 und Server 2003 SP1, Windows Server 2003 und Server 2003 SP1 für Itanium und Windows Server 2003 x64 Edition bereits verfügbar.

Quelle : www.heise.de

[Jürgen]

Zumindest den Test auf heise security fängt Norton Antivirus auch in einer aktualisierten (4.1.2006) Version 2004 mit Standardeinstellungen hier verlässlich ab.

[SiLæncer]

Nicht nur Windows-Anwender sollten aktuelle Patches einspielen, um sich vor Infektionen durch präparierte WMF-Bilder zu schützen. Auch Unix-Anwender sind von der Sicherheitslücke betroffen, sofern sie die unabhängige Windows-API-Implementierung WINE oder deren kommerzielle Ableger Cedega und Crossover Office einsetzen. So wurde in WINE die vollständige Meta-File-API nachprogrammiert, einschließlich SETABORTPROC. Die ermöglicht per Definition das Ausführen von im WMF-Bild enthaltenen Code, wenn das Rendern des Bildes fehlschlägt. Zwar haben die WINE-Entwickler damit eine sehr hohe Kompatibilität zu Windows erreicht, allerdings auch das potenzielle Sicherheitsrisiko mit aufgenommen.

Auf diese Weise kann auch ein Linux- oder BSD-Anwender sein System infizieren, wenn er mit Crossover Office ein Word-Dokument öffnet, das präparierte WMF-Bilder enthält. Auch im WINE-Ableger für Mac OS X Darwine dürfte der Fehler zu finden sein. Marcus Meissner hat bereits einen Patch für WINE entwickelt und ihn auf der WINE-Mailing-List veröffentlicht. Bis er in die Pakete der Linux-Distributoren und der Hersteller von Cedega und Crossover Office Eingang gefunden hat, werden allerdings noch ein paar Tage vergehen. Bis dahin sollten Anwender im Umgang mit Dokumenten höhere Vorsicht walten lassen.

Siehe dazu auch:

    * WMF-Patch für WINE, Mailing von Marcus Meissner
    * Microsoft veröffentlicht WMF-Patch vorab, Meldung von heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/68123