Inoffizieller Patch gegen WMF-Schwachstelle
Das Internet Storm Center hat ein Programm bereit gestellt, das die Schwachstelle ausschalten soll.
In einer Situation, in der es mit den üblichen Mitteln keinen vernünftigen Ausweg zu geben scheint, unternimmt das Internet Storm Center einen eher ungewöhnlichen Schritt. Nach sorgfältiger Prüfung empfiehlt das ISC ein Programm, das aus einer bis dato eher unbekannten Quelle stammt und das tief in das Windows-System eingreift.
Die Situation ist deshalb so verzwickt, weil die Sicherheitslücke bei der Behandlung von WMF-Dateien (wir berichteten) auf breiter Front ausgenutzt wird und von Microsoft bislang keine zufriedenstellende Lösung angeboten wird. Die von Microsoft vorgeschlagene Deregistrierung der Datei "shimgvw.dll" (wir berichteten) stopft nur die großen Löcher, lässt jedoch zu viele kleinere offen.
So hindert diese Maßnahme den Internet Explorer und Outlook Express daran, WMF-Dateien aus Web-Seiten oder Mails mit der "Windows Bild- und Faxanzeige" zu öffnen. Auch ohne diese DLL bleiben jedoch genug Wege zur Infektion eines Systems. So können auch andere Bildbetrachter und weitere Programme beim Öffnen präparierter WMF-Dateien dem schädlichen Code zur Ausführung verhelfen. Trojanische Pferde könnten die DLL wieder registrieren. Selbst wenn eine solche WMF-Datei zunächst nur auf der Festplatte gespeichert wird, kann bereits das Anzeigen des betreffenden Ordners im Explorer oder die Indexerstellung einer Desktop-Suchmaschine (etwa Google Desktop) zur Ausführung des schädlichen Codes führen.
WMF-Dateien bestehen im Gegensatz zu anderen Bildformaten nicht nur aus reinen Bitmap-Daten (Pixelkoordinaten mit Farbwerten). Sie können vielmehr auch Programm-Code enthalten, der mit der Grafikschnittstelle von Windows (GDI) interagieren kann. Die aktuellen Exploits nutzen eine so genannte Escape-Funktion in der Systembibliothek "gdi32.dll", durch die der Parameter SetAbortProc() aufgerufen wird. Darüber kann beliebiger Code geladen und ausgeführt werden. Das Problem liegt also eigentlich nicht in der "shimgvw.dll", sondern ist weit grundsätzlicher.
Ilfak Guilfanov hat nun ein Programm geschrieben, das alle Aufrufe von SetAbortProc() im Arbeitsspeicher abfangen soll. Auf diese Weise sollen normale WMF-Dateien weiterhin angezeigt, die schädlichen jedoch entwaffnet werden. Das Internet Storm Center (ISC) hat dieses Programm auseinander genommen, mit dem mitgelieferten Quelltext abgeglichen und getestet. Es wurde nach kleineren Verbesserungen für geeignet und sicher befunden. Auch der Antivirus-Hersteller F-Secure empfiehlt das Programm im Weblog seines Virenlabors.
Das ISC stellt das Programm auch selbst zum Download bereit. Dies ist ein eher unüblicher Schritt und nicht unbedingt das, was der PC-Doktor normalerweise empfiehlt. Aber ungewöhnliche Situationen erfordern zuweilen ungewöhnliche Maßnahmen. Nach Einschätzung des ISC können und sollten Anwender nicht warten, bis Microsoft ein Update liefert, das die Lücke schließt - womöglich erst zum nächsten Patch Day am 10. Januar.
Das ISC empfiehlt weiterhin die von Microsoft als Interimslösung vorgeschlagene Deregistrierung der shimgvw.dll und zusätzlich die Anwendung des Patch-Programms von Ilfak Guilfanov. Beide Maßnahmen können vollständig rückgängig gemacht werden, wenn eine umfassende Lösung von Microsoft zur Verfügung steht. Microsoft hat bereits verkündet, dass es ein Sicherheits-Update geben wird, jedoch noch keinen Bereitstellungstermin festgelegt.
