Am Dienstag veröffentlichte Microsoft im Rahmen des Security Bulletins MS05-053 (wir berichteten) Informationen über eine Anfälligkeit von Windows-Komponenten für manipulierte WMF- und EMF-Grafiken. Inzwischen ist Beispiel-Code aufgetaucht, der die Ausnutzung dieser Sicherheitslücke demonstriert.

Der Antivirus-Hersteller Trend Micro berichtet über eine etwa 3,6 Megabytes große Grafik-Datei, die den Windows Explorer zum Absturz bringt. Es handelt sich dabei um einen genannten "Proof-of-Concept" (PoC), also um eine Demonstration der Machbarkeit. Solche Demo-Beispiele sind jedoch oft die Basis für richtige Schädlinge, die kurze Zeit später auftauchen.

Antivirus-Hersteller haben zum Teil bereits Signaturen in ihre Virendefinitionen eingebaut, die vor der Ausnutzung dieser Sicherheitslücke schützen sollen, indem sie entsprechende Dateien erkennen. Dazu müssten Anwender und Administratoren jedoch das Scannen von WMF- und EMF-Dateien unter Umständen erst einmal aktivieren, falls ihr Virenscanner nicht auf "alle Dateien" eingestellt ist.

Bei Symantec-Produkten (etwa Norton Antivirus) soll das Muster "Bloodhound.Exploit.45" eine generische Erkennung schädlicher Grafik-Dateien ermöglichen. Das Internet Storm Center berichtet jedoch über viele Fehlalarme in harmlosen Dateien, die unter anderem die Benutzung von Excel erschweren oder gar verhindern. Als Ausweg bleibt EMF-Dateien bis zur Bereitstellung eines korrigierten Updates auf die Ausnahmeliste zu setzen.

Warten Sie nicht, bis der erste Schädling auftaucht, der die Sicherheitslücke MS05-053 ausnutzt. Installieren Sie umgehend das Sicherheits-Update. Unternehmen und Organisationen, die mit dem Software Update Service (SUS) arbeiten, haben derzeit Probleme mit dem Bezug des Updates (wir berichteten).

Exploit-Beschreibung bei:
Trend Micro
McAfee