117612

WMF-Exploit: Anfällige Programme

03.01.2006 | 16:34 Uhr |

Die von Microsoft empfohlene Deregistrierung einer DLL lässt Schlupflöcher offen.

Die in der letzten Woche bekannt gewordene und zum Einschleusen schädlicher Programme ausgenutzte Windows-Sicherheitslücke beim Umgang mit WMF-Dateien beschränkt ( wir berichteten ) sich nicht auf die "Bild- und Faxanzeige". Auch mehrere Anwendungen von Drittherstellern weisen vergleichbare Fehler auf.

Zusammen mit dem Testlabor AV-Test haben wir einige Stichproben mit beliebten Grafikprogrammen unter verschiedenen Windows-Versionen gemacht. Diese Tests erheben keinen Anspruch auf Vollständigkeit, sie sollen nur demonstrieren, dass die von Microsoft als Interimslösung vorgeschlagene Deregistrierung der Programmbibliothek "shimgvw.dll" keine vollständige Sicherheit vor den WMF-Exploits bieten kann.

Überprüft wurden nicht unbedingt die aktuellsten Programmversionen, da in der Praxis oft ältere Versionen installiert sind. Getestet wurde mit verschiedene Windows-Versionen von Windows NT 4.0 über Windows 98 bis XP und Server 2003.

Bei den Tests zeigt sich, dass einige Grafikprogramme wie Corel Draw (getestete Versionen: 9 und 11) und Paintshop Pro (getestete Versionen: 7.0.3, 8.10, 9.0) nicht anfällig zu sein scheinen. Während Corel Draw mit Exploit-Code präparierte WMF-Dateien klaglos öffnet, meldet Paintshop Pro einen angeblichen Mangel an Arbeitsspeicher und öffnet die Dateien nicht. Wie auch Microsoft bestätigt, sind Office-Anwendungen wie Microsoft Word nicht anfällig. Eine Stichprobe mit Open Office 1.1.5 unter Windows 2000 zeigt ebenfalls keine Auffälligkeiten.

Anders sieht es bei den kostenlosen Bildbetrachtern Irfanview und Xnview aus. Bei diesen Programmen genügt bereits der integrierte Datei-Browser, der Vorschaubilder anzeigt, um dem Exploit-Code zur Ausführung zu verhelfen. Dieser Effekt tritt auch unter Windows NT 4.0 auf, obwohl auf diesem PC keine shimgvw.dll vorhanden ist.

Bei älteren Windows-Versionen wie Windows 98 oder NT ist standardmäßig keine Anwendung mit WMF-Dateien verknüpft. Unter Windows 98 und Me scheint der Exploit-Code nicht zu funktionieren, vermutlich ist der Code auf neuere Windows-Versionen angepasst. Prinzipiell existiert die Schwachstelle in der Grafikschnittstelle (GDI) von Windows seit Windows 3.0. Aus dieser Zeit stammt auch das Dateiformat WMF (Windows Meta File), dessen spezielle Eigenarten auf die damaligen Erfordernisse ausgerichtet sind. In WMF-Dateien kann Programm-Code enthalten sein, der bis heute den Start beliebiger Anwendungen ermöglicht.

Die größte Gefahr besteht bei Windows XP und Windows Server 2003, da hier im Gegensatz zu anderen Windows-Versionen standardmäßig eine Verknüpfung von WMF-Dateien mit einer Anwendung (Bild- und Faxanzeige) besteht. Sie sollten sich jedoch keineswegs sicher fühlen, wenn Sie noch mit Windows 98 oder Me arbeiten. Je nach installierten Anwendungen können auch solche darunter sein, die für die WMF-Exploits anfällig sind.

Zudem ist nicht davon auszugehen, dass Microsoft für diese Windows-Versionen noch ein Sicherheits-Update bereit stellen wird, das sich des Kernproblems annimmt. Zumindest für Windows XP und Server 2003, vermutlich auch für Windows 2000, will Microsoft am 10. Januar ein Sicherheits-Update anbieten ( wir berichteten ).

>> Weitere PC-WELT-Infos zum inoffiziellen Patch
>> Weitere PC-WELT-Infos zur MS Sicherheitsempfehlung

0 Kommentare zu diesem Artikel
117612