WMF-Exploit: Microsoft aktualisiert Sicherheitsempfehlung
Microsoft hat seine Sicherheitsempfehlung für den WMF-Exploit aktualisiert. Mit der Aktualisierung bittet Microsoft die Anwender um Geduld. Der Patch, der die gefährliche Lücke schließen soll, wird wie geplant am 10. Januar am Patch-Day erscheinen. Von der Nutzung des inoffiziellen Patches rät Microsoft dagegen ab.
Microsoft hat seine Sicherheitsempfehlung zum WMF-Exploit aktualisiert, deren erste Fassung Ende Dezember online gegangen war. Aktualisiert wurde die FAQ um zwei neue Einträge, in denen Microsoft Stellung bezieht zu dem kürzlich veröffentlichten inoffiziellem Patch, der die Lücke schließen soll.
"Als eine generelle Regel empfiehlt es sich Sicherheits-Updates für Sicherheitslücken vom Original-Hersteller zu verwenden", rät Microsoft und fügt hinzu, dass man bei Microsoft die Updates sorgfältig teste, vor allem hinsichtlich der Kompatibilität zu anderen Applikationen. Zudem würde es den offiziellen Patch auch gleich in 23 Sprachversionen geben. Daher empfiehlt Microsoft den Anwendern bis zum Erscheinen des Sicherheitsupdates am 10. Januar zu warten und nicht den inoffiziellen Patch (wir berichteten) zu installieren.
In einem weiteren, neuen Eintrag in der FAQ beziehen die Redmonder Stellung zu der im Internet aufgetauchten Pre-Release-Version des offiziellen Patches. "Die Pre-Release-Version des Updates wurde unbeabsichtigt auf einer Sicherheits-Community-Site veröffentlicht", so Microsoft. Anwender sollten alle Hinweise über den Patch ignorieren und bis zur offiziellen Veröffentlichung warten.
Auch wenn Microsoft zur Geduld rät, stecken die Anwender in der Zwickmühle. Die Sicherheitslücke ist seit Tagen bekannt und wird für Angriffe ausgenutzt. Mit der weiterhin offiziell patchlosen Zeit nimmt die Gefahr ständig zu. Da fällt es schwer sich in Geduld zu üben, vor allem dann, wenn es bereits eine, wenn auch inoffizielle, Lösung für das Problem gibt. In seiner FAQ erläutert Microsoft zwar, dass die Entwicklung eines Patches aufwendig sei, allerdings hilft dies den Anwendern herzlich wenig.
Inzwischen warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Sicherheitslücke.
Der Ansturm auf den inoffiziellen Patch hatte dafür gesorgt, dass die Seite des Entwicklers Ilfak Guilfanov (Hexblog.com), zusammengebrochen war und mittlerweile nur in einer Notfassung online ist. Alternativ wird mittlerweile auch eine bereits aktualisierte Fassung (inklusive MSI-Installer) des Patches beim Internet Storm Center hier zum Download angeboten. Der Patch lässt sich später, wenn der offizielle Patch erscheint, über "Systemsteuerung, Software" wieder deinstallieren.
Das Internet Storm Center rät weiterhin zur Installation des inoffiziellen Patches. Sollten Sie dieser Empfehlung folgen, dann sollten Sie den inoffiziellen Patch deinstallieren, bevor Sie in der kommenden Woche dann den offiziellen Patch installieren.
