[Witi]

Zitat (Sydney: 02.01.2006, 09:35)

Den inoffiziellen Patch gegen WMF-Sicherheitslücke brauchen nur diejenigen, die Start -> Ausführen -> regsvr32 /u shimgvw.dll - OK noch nicht ausgeführt haben.

So sicher?
Dann öffnest du ein präpariertes Bild, das zu allererst diese DLL wieder registriert...

[Sydney]

Nicht ganz da ich nicht weiß, ob es bereits Exploits gibt die genau das tun.

Ich warte bis ein Patch (falls es einen geben wird) von MS veröffnetlicht wird.

Dieser Beitrag wurde von Sydney bearbeitet: 02. Januar 2006 - 11:30

[swissboy]

Zitat (Sydney: 02.01.2006, 09:35)

Den inoffiziellen Patch gegen WMF-Sicherheitslücke brauchen nur diejenigen, die Start -> Ausführen -> regsvr32 /u shimgvw.dll - OK noch nicht ausgeführt haben.

Nein, das ist so nicht korrekt, Zitat aus der heise online News:

Zitat

Der in dem Advisory vorgeschlagene Workaround, die verwundbare Bibliothek zu deaktivieren, schliesst nicht alle Einfallstore. So können Programme die Bibliothek nach wie vor direkt laden oder die Bibliothek wieder registrieren.

Der inoffizielle Hotfix von Ilfak Guilfanov verhindert genau diese Möglichkeiten, dies wurde auch vom Internet Storm Center (ISC) bestätigt.

Dieser Beitrag wurde von swissboy bearbeitet: 02. Januar 2006 - 12:25

[Sydney]

Erhält der Benutzer dann auch die Windows Meldung, dass die dll wieder registirert wurde?

[swissboy]

Zitat (Sydney: 02.01.2006, 13:00)

Erhält der Benutzer dann auch die Windows Meldung, dass die dll wieder registirert wurde?

Wohl kaum, die lässt sich ja auch sogar beim regsvr32-Befehl mit der Option /s unterdrücken, wenn dies über Code geschieht dann sowieso nicht.

[Rika]

Mein eingeschränkten Benutzerrechten kann man die DLL doch gar nicht wieder registrieren.

[swissboy]

Zitat (Rika: 02.01.2006, 13:12)

Mein eingeschränkten Benutzerrechten kann man die DLL doch gar nicht wieder registrieren.

Leider arbeitet nur eine Minderheit mit eingeschränkten Benutzerrechten, aber das ist bekanntlich wieder ein Thema für sich das an anderer Stelle schon genügend ausdiskutiert wurde.

[Sydney]

Tja dann brauch ich wohl doch nichts weiter machen ausser Start -> Ausführen -> regsvr32 /u shimgvw.dll - OK-> abmelden und neu anmelden :-) (natürlich mit einem eingeschränktem konto names INet)

Dieser Beitrag wurde von Sydney bearbeitet: 02. Januar 2006 - 14:40

[Rika]

Du solltest die DLL noch umbenennen. Unter Windows 2000 sollte man auch noch die thumbvw.dll ebenfalls deregistrieren und umbenennen.
Den vorläufigen Patch sollte man trotzdem einspielen, da auch andere Programme die fehlerhafte Funktion verwenden können.

[swissboy]

Zitat (Sydney: 02.01.2006, 14:38)

Tja dann brauch ich wohl doch nichts weiter machen ausser Start -> Ausführen -> regsvr32 /u shimgvw.dll - OK-> abmelden und neu anmelden :-) (natürlich mit einem eingeschränktem konto names INet)

Der Einwand von Rika betrifft nur das wiederregistrieren der shimgvw.dll, er bedeutet aber nicht das du damit wirklich 100% geschützt bist. Lies mal auf der Homepage des Hotfixes durch was er genau macht, wenn man auf sicher gehen will sollte man ihn trotzdem installieren.

Zitat (Rika: 02.01.2006, 14:42)

Du solltest die DLL noch umbenennen.

Das geht gar nicht so ohne weiteres, da die shimgvw.dll standardmässig durch Windows geschützt ist und dann sofort wiederhergestellt wird.

Dieser Beitrag wurde von swissboy bearbeitet: 02. Januar 2006 - 15:01

[Sydney]

Zitat (swissboy: 02.01.2006, 14:47)

Der Einwand von Rika betrifft nur das wiederregistrieren der shimgvw.dll, er bedeutet aber nicht das du damit wirklich 100% geschützt bist. Lies mal auf der Homepage des Hotfixes durch was er genau macht, wenn man auf sicher gehen will sollte man ihn trotzdem installieren.

Wann ist mein System den 100% geschützt?

1) dll wie von MS erwähnt de-registriert.
2) AV Programm läuft bereits und ist auch UpToDate.
3) Antispyware Programm läuft bereits auch UpToDate.
4) Aktive FW.
5) Eingeschränktes Konto beim Arbeiten/Surfen wird bereits verwendet.
6) Unbekannte Mails werden ehe mit shift-entf gelöscht.
8) Ich Installiere keine Updates die nicht vom Hersteller selber stammen.

[swissboy]

Zitat (Sydney: 02.01.2006, 15:04)

Wann ist mein System den 100% geschützt?

Nein, weil dann immer noch ein bösartiges Bild bzw. Programm die SETABORT Escape-Sequenz in der gdi32.dll ausnutzen kann.
Du magst deine Massnahmen für dich als genügend erachten, aber dein System ist dadurch keinesfalls 100% geschützt. Die eigentliche Sicherheitslücke ist trotzdem noch da.

PS: Nur weil der Patch nicht von Microsoft ist heisst noch lange nicht das er nichts taugt. Er setzt die SETABORT Escape-Sequenz in der gdi32.dll ausser Kraft und das mach Sinn. Ilfak Guilfanov erklärt ja selber das dies nur eine temporäre Lösung ist die man wieder deinstallieren soll sobald das reguläre Update von Microsoft verfügbar ist. Wie schon oben erwähnt bestätigt auch das Internet Storm Center (ISC) die Wirksamkeit dieses Patches.

Dieser Beitrag wurde von swissboy bearbeitet: 02. Januar 2006 - 16:23

[Sydney]

Zitat (swissboy: 02.01.2006, 15:16)

Nein, weil dann immer noch ein bösartiges Bild bzw. Programm die SETABORT Escape-Sequenz in der gdi32.dll ausnutzen kann.
Du magst deine Massnahmen für dich als genügend erachten, aber dein System ist dadurch keinesfalls 100% geschützt. Die eigentliche Sicherheitslücke ist trotzdem noch da.

PS: Nur weil der Patch nicht von Microsoft ist heisst noch lange nicht das er nichts taugt. Er setzt die SETABORT Escape-Sequenz in der gdi32.dll ausser Kraft und das mach Sinn. Ilfak Guilfanov erklärt ja selber das dies nur eine temporäre Lösung ist die man wieder deinstallieren soll sobald der reguläre Update von Microsoft verfügbar ist. Wie schon oben erwähnt bestätigt auch das Internet Storm Center (ISC) die Wirksamkeit dieses Patches.

Also Swissboy:
1) Habe ich nicht geschrieben, dass der Patch nichts taugt wie Du es hier darstellst!
2) Ein System ist niemals 100% geschützt!
3) Ich selber weiß auch, dass es ein Workaround ist und das eigentliche problem sich dadurch nicht auflöst!
4) Erhältst Du keinerlei Support von MS, wenn Du diesen Patch installiert hast und etwas geht schief! Und jetzt komm nicht nicht mit der Systemwiederherstellung oder so!

Dieser Beitrag wurde von Sydney bearbeitet: 02. Januar 2006 - 15:51

[swissboy]

Zitat (Sydney: 02.01.2006, 15:45)

Also Swissboy:
1) Habe ich nicht geschrieben, dass der Patch nichts taugt wie Du es hier darstellst!
2) Ein System ist niemals 100% geschützt!
3) Ich selber weiß auch, dass es ein Workaround ist und das eigentliche problem sich dadurch nicht auflöst!
4) Erhältst Du keinerlei Support von MS, wenn Du diesen Patch installiert hast und etwas geht schief! Und jetzt komm nicht nicht mit der Systemwiederherstellung oder so!

Zu 2): Du hattest geschrieben "Wann ist mein System den 100% geschützt?".
Zu 4): Was soll den hier schiefgehen, der Patch besteht nur aus einer DLL die über die Systemsteuerung / Software wieder sauber deinstalliert werden kann falls ein Problem auftauchen sollte oder das reguläre Update von Microsoft verfügbar ist. Die Systemwiederherstellung ist dafür gar nicht nötig und auch auf den Microsoft-Support kann man hier getrost verzichten (bis das reguläre Update verfügbar ist).

Dieser Beitrag wurde von swissboy bearbeitet: 02. Januar 2006 - 16:22