[swissboy]

Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check

heise Security stellt auf dem c't-Browser- und -E-Mail-Check Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im Windows Metafile Format (WMF), dessen Design noch aus den achtziger Jahren stammt, können Code enthalten, den das System in bestimmten Situationen ausführt – beispielsweise wenn das Rendern der Datei fehlschlägt. Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen Code via SETABORTPROC ausführen zu lassen.

Den kompletten heise online Artikel gibt es hier.

WMF-Demo des c't-Browserchecks
WMF-Testmail des c't-Emailchecks

[Sydney]

c't-Browsercheck
>Wenn die Demo funktioniert, öffnet sich der Windows-Taschenrechner.
Bei mir öffnet sich Nero.

regsvr32 -u %windir%\system32\shimgvw.dll wurde vorher ausgeführt.
Der Patch wurde auf einem Testrechner installiert mit demselben Ergebnis.

Dieser Beitrag wurde von Sydney bearbeitet: 02. Januar 2006 - 21:59

[Sydney]

Zitat (swissboy: 02.01.2006, 12:24)

Nein, das ist so nicht korrekt, Zitat aus der heise online News:

Der inoffizielle Hotfix von Ilfak Guilfanov verhindert genau diese Möglichkeiten, dies wurde auch vom Internet Storm Center (ISC) bestätigt.

Zitat

Allerdings beseitigt dies nicht alle WMF-Infektionswege. Alternativ empfiehlt das Internet Storm Center als Übergangslösung einen Patch von Ilfak Guilfanov (MD5: 99b27206824d9f128af6aa1cc2ad05bc). Auf der Seite des Entwicklers findet sich bereits eine aktuellere Version, die eine mehrfache Installation verhindern und auch mit Windows 2000 SP4 funktionieren soll. Diese wurde allerdings noch nicht vom ISC begutachtet.

Quelle: http://www.heise.de/security/dienste/brows...os/ie/wmf.shtml

[TheBrain]

klar wurde die Version begutachtet.

Zitat

Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov. Diesen Patch hat das Internet Storm Center einer intensiven Quellcode-Analyse unterzogen und bestätigt seine Wirksamkeit

Quelle: http://www.heise.de/...r/meldung/67884

.. oder was wolltest du mit dem fettgedruckten "noch nicht" aussagen ? > Vielleicht solltest du mal die Daten der Meldungen berücksichtigen.

[swissboy]

@Sydney: Das steht alles schon in den im Betrag #14 verlinkten heise Artikel zu diesem Patch.

... und als Update-Absatz steht da:

Zitat

Auf der Seite des Entwicklers findet sich bereits eine aktuellere Version, die eine mehrfache Installation verhindern und auch mit Windows 2000 SP4 funktionieren soll. Das ISC hat auch diese Version begutachtet und bietet PGP-signierte Pakete und sogar MSI-Pakete für die automatisierte Installation an.

Dieser Beitrag wurde von swissboy bearbeitet: 02. Januar 2006 - 18:36

[swissboy]

Zitat (MagicAndre1981: 02.01.2006, 21:19)

NOD32 blockt die Datei :-D Na da binn ich beruhigt.

Wenn du die ganzen Infos aus diesem Thread gelesen hast wirst du feststellen das du trotzdem nicht beruhigt sein kannst. Es steht sogar ausdrücklich auf den entsprechenden heise-Seiten zu den Tests.

Dieser Beitrag wurde von swissboy bearbeitet: 02. Januar 2006 - 21:54

[swissboy]

Unter dem folgenden Link gibt es eine recht gute deutsche FAQ zum Thema WMF-Sicherheitslücke, es ist eine deutsche Übersetzung der FAQ des Internet Storm Center (ISC):
http://www.rokop-sec...showtopic=10306


Ausserdem Ilfak Guilfanov eine Version 1.4 seines "Windows WMF Metafile Vulnerability HotFix" veröffentlicht. Der einzige Unterschied zur Vorgängerversion 1.3 ist jedoch, das sie sich nun dank neuen Silent-Optionen im Setup besser in Scripte zu Verteilung in Netzwerken einbinden lässt, mehr Infos dazu hier. Wer also bereits eine Vorgängerversion installiert hat, braucht den Hotfix nicht nochmals neu zu installieren.

Dieser Beitrag wurde von swissboy bearbeitet: 03. Januar 2006 - 08:11

[Sydney]

Informational Alert: WMF Infected Site Examples
http://www.websensesecuritylabs.com/alerts...php?AlertID=391

[swissboy]

Microsoft kündigt Patch für WMF-Lücke an

Der Redmonder Konzern hat für den Januar-Patchday am kommenden Dienstag, den 10.01.2006, ein Sicherheitsupdate angekündigt, das die Lücke in der shimgvw.dll beim Anzeigen präparierter WMF-Dateien schließen soll. Der Patch sei fertig entwickelt und werde derzeit in die verschiedenen Sprachversionen von Windows übersetzt und intensiv getestet, so das Unternehmen in einer Sicherheitsmeldung.

Den kompletten heise online Artikel gibt es hier.

Akualisiertes Microsoft Security Advisory (912840)
Pressemitteilung Microsoft Statement Concerning Windows Meta File Vulnerability


Es gibt auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,23576.html

Dieser Beitrag wurde von swissboy bearbeitet: 03. Januar 2006 - 18:48

[nim]

nich dass man das auch auf unserer webseite lesen könnte...

[swissboy]

Zitat (nim: 03.01.2006, 15:48)

nich dass man das auch auf unserer webseite lesen könnte...

Ja, du warst ein Tick schneller.
Als ich den Beitrag angefangen habe war die Frontseiten-News noch nicht online.

[swissboy]

Trubel um inoffiziellen WMF-Patch

Der inoffizielle WMF-Patch von Ilfak Guilfanov ist offenbar sehr beliebt: Der Provider musste Guilfanovs Seite Hexblog aufgrund massiven Traffics vom Netz nehmen. Um die große Nachfrage trotzdem befriedigen zu können, hat er nun eine temporäre Seite aufgesetzt, auf der Download-Mirrors verlinkt sind. Dort ist inzwischen die vierte überarbeitete Version des Patches verfügbar; auch MSI-Installer zur Einrichtung des Patches etwa in Unternehmensnetzen stehen dort bereit.

In einem weiteren FAQ-Update des WMF-Security-Advisory (912840) rät Microsoft allerdings davon ab, Patches von Drittanbietern einzuspielen, da das Unternehmen keine Gewähr für deren korrekte Funktion übernehmen könne.

Den kompletten heise online Artikel gibt es hier.

[Sydney]

Zitat (swissboy: 02.01.2006, 16:01)

Zu 4): Was soll den hier schiefgehen, der Patch besteht nur aus einer DLL die über die Systemsteuerung / Software wieder sauber deinstalliert werden kann falls ein Problem auftauchen sollte oder das reguläre Update von Microsoft verfügbar ist. Die Systemwiederherstellung ist dafür gar nicht nötig und auch auf den Microsoft-Support kann man hier getrost verzichten (bis das reguläre Update verfügbar ist).

Scheinbar sind Informationen für Dich nur dann wichtig oder nennenswert, wenn Sie auf Heise stehen. Tzzzz

Sicherheitsupdate Für Windows Xp (kb912919)
WMF security patch jetzt verfügbar!

Dieser Beitrag wurde von Sydney bearbeitet: 05. Januar 2006 - 22:53