[swissboy]

Microsoft Security Advisory (912840) zu Windows Metafile Bilder (WMF) Sicherheitslücke

Gestern wurde eine Sicherheitslücke im Graphics Rendering Engine im Zusammenhang mit Windows Metafile (WMF) Bildern bekannt, WinFuture berichtete bereits darüber.

Microsoft hat nun ein Security Advisory (912840) dazu veröffentlicht und bestätigt darin das Problem. Es wird mit einem Security Bulletin und dem zugehörigen Bugfix behoben werden. Ein Termin wird wie üblich nicht genannt (nächster Patch-Day?).

Als Workaround wird darin vorgeschlagen die Windows Bild- und Faxanzeige durch deregistrieren der Datei shimgvw.dll vorübergehend komplett zu deaktivieren.
Dies geschieht durch den Befehl "regsvr32 -u %windir%\system32\shimgvw.dll" (ohne Anführungszeichen). Dies kann später durch den Befehl "regsvr32 %windir%\system32\shimgvw.dll" wieder rückgängig gemacht werden.

Microsoft Security Advisory (912840) Englisch
Microsoft Security Advisory (912840) Deutsch

New WMF 0-day exploit Blogeintrag von F-Secure
Windows WMF 0-day exploit in the wild Meldung des Internet Storm Center


UPDATE:
Es gibt inzwischen auch eine neue WinFuture-News zu diesem Thema:
http://www.winfuture...news,23538.html

Dieser Beitrag wurde von swissboy bearbeitet: 09. Januar 2006 - 11:36

[Sydney]

Malicious Website / Malicious Code: Zero-day IE .WMF Exploit






Shimgvw.dll - Dateiinformation

Dateiname: Shimgvw.dll
Prozessname: Microsoft Bild- und Faxanzeige
Herausgeber: Microsoft
Teil von: Microsoft Windows
Beschreibung: Windows Metafile (WMF) ist ein proprietäres Grafikformat der Firma Microsoft. Es wurde entwickelt für den Austausch von Grafiken über verschiedene Programme.

Bild- und Faxanzeige deaktivieren oder aktivieren
Wenn Sie die Windows Bild- und Faxanzeige verwenden, können Sie mit den Bildern arbeiten, ohne eine Bildbearbeitungsanwendung öffnen zu müssen.

Hinweis: Das Deaktivieren der Funktion bringt gewisse Nebeneffekte mit sich.

Deaktivieren: Start -> Ausführen -> regsvr32 /u shimgvw.dll - OK
Aktivieren Start -> Ausführen -> regsvr32 shimgvw.dll -> OK

Malicious Website / Malicious Code: Zero-day IE .WMF Exploit http://www.websensesecuritylabs.com/alerts...php?AlertID=385

Dieser Beitrag wurde von Sydney bearbeitet: 30. Dezember 2005 - 01:16

[TheBrain]

Könnte man nicht einfach auch die WMF-Dateiendung (z.b.) mit Notepad verknüpfen ? ....

So hab' ich es jetzt einfach mal gemacht ... oder ist das nicht empfehlenswert und wenn ja - warum nicht ?

... hab' nämlich keinen Bock drauf auf die Windows Bild- und Faxanzeige zu verzichten.

[Rika]

Ja, kann man. Am besten entfernt man einfach sämtliche Verknüpfungen mit EMF und WMF.
Bestehende Datenbestände in diesen Formaten sollte man sowieso nach SVG konvertieren.

[Sydney]

WMF-Exploit tarnt sich als Google-Grußkarte
Seit heute morgen kursiert auch eine angebliche Google-Mail-Grußkarte von "Claudia" (oder einem anderen Namen) mit einem präparierten Link.



Quelle: http://www.heise.de/...r/meldung/67814 und http://www.pcwelt.de...erheit/128483/#

Dieser Beitrag wurde von Sydney bearbeitet: 29. Dezember 2005 - 17:45

[TheBrain]

@Rika: Reicht wohl leider doch nicht (so wie ich mir das dachte) , wenn ich das hier lese:

"Auch das Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf"

Quelle: http://www.heise.de/...r/meldung/67814

+++++++++++++++++++++++++++++++++++++++

Naja, jetzt heissts halt Risiko abwägen

[Sydney]

Deutschsprachige Sicherheitsempfehlung (912840)
http://www.microsoft.com/germany/technet/s...gen/912840.mspx

[Rika]

@TheBrain: Du nimmst also ungeprüft Daten von Wildfremden entgegen bzw. surfst mit 'm IE?

[TheBrain]

@Rika: Ja, ich surfe mit dem IE (aber das ist ja in soweit noch kein Problem, solange er richtig konfiguriert ist) ... und Daten von wildfremden nehm ich eigentlich keine (höchstens mein BS)

[Rika]

Zitat

aber das ist ja in soweit noch kein Problem, solange er richtig konfiguriert ist

Bei solch einer Konfiguration würde ich das nicht als Surfen bezeichnen.

[Sydney]

FYI: Die FAQ der Sicherheitsempfehlung auf der .com Seite wurde aktualisiert.

Weitere Details zur WMF-Lücke auf Heise.de

VG
-S

Dieser Beitrag wurde von Sydney bearbeitet: 30. Dezember 2005 - 12:50

[TheBrain]

Virenschutz gegen WMF-Exploit
http://www.heise.de/...r/meldung/67848

Zitat

...Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und könnten somit eine Infektion verhindern. eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp über 80 Prozent identifiziert...

So liebe Kaspersky- AVG- und Antivir - Nutzer, die ihr immer gegen Symantec schießt:
"Diesmal habt ihr den Kürzeren gezogen"

Dieser Beitrag wurde von TheBrain bearbeitet: 30. Dezember 2005 - 18:12

[swissboy]

Neujahrsgrüße nutzen WMF-Lücken und inoffizieller Hotfix verfügbar

Neujahrsgrüße via E-Mail können eine böse Überraschung mit sich bringen: Die Antivirenexperten von F-Secure warnen vor "Happy New Year"-E-Mails, die als Anhang einen neuen WMF-Exploit mit sich bringen. Über einen Fehler in der Render-Engine von Windows wird beim Öffnen der als JPG-Bild getarnten Datei HappyNewYear.jpg eine Hintertür auf dem Rechner installiert. Das funktioniert, weil das proprietäre WMF-Format es gestattet, Funktionen zu registrieren und aufzurufen.

Weil ein offizieller Patch von Microsoft noch nicht absehbar ist, hat Ilfak Guilfanov, der Entwickler des Disassemblers IDA Pro, kurzerhand einen eigenen erstellt. Er klinkt sich in alle Prozesse ein, die die Bibliothek user32.dll laden und deaktiviert dann im Speicher den Exploit-Mechanismus. Dazu blockiert er Aufrufe der Escape-Funktion von gdi32.dll, die versuchen, den Parameter SETABORTPROC zu setzen. Damit funktioniert die Anzeige von WMF-Dateien weiterhin, die Exploits werden jedoch abgefangen.

Den kompletten heise online Artikel gibt es hier.

Den inoffiziellen Windows WMF Metafile Vulnerability HotFix von Ilfak Guilfanov gibt es hier.


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,23562.html

Dieser Beitrag wurde von swissboy bearbeitet: 02. Januar 2006 - 16:17

[Sydney]

Den inoffiziellen Patch gegen WMF-Sicherheitslücke brauchen nur diejenigen, die Start -> Ausführen -> regsvr32 /u shimgvw.dll - OK noch nicht ausgeführt haben.

Also ich brauche ihn nicht