WMF-Lücke: Was ist zu tun?

Montag den 09.01.2006 um 16:19 Uhr

von Frank Ziemann

Nach der Bereitstellung des Sicherheits-Updates durch Microsoft bleiben noch offene Fragen.
Entgegen der ursprünglichen Ankündigung veröffentlichte Microsoft das Security Bulletin MS06-001 bereits am 5. Januar. Eigentlich war es erst für den Patch Day am 10. Januar vorgesehen, da es jedoch Druck von Anwendern und Sicherheitsfachleuten gab und der WMF-Patch unter Einsatz zusätzlicher Ressourcen bereits früher fertig gestellt wurde, konnte er früher bereit gestellt werden.

Damit gibt es zumindest für Windows 2000, XP und Server 2003 eine offizielle Lösung für die Anfälligkeit von Windows gegen schädliche WMF-Grafikdateien. Das Sicherheits-Update "KB912919" beseitigt eine auf breiter Front ausgenutzte Angriffsmöglichkeit mit präparierten WMF-Dateien. Eine entsprechende Lösung für ältere Windows-Versionen wie NT 4.0 oder Windows 98/Me stellt Microsoft jedoch nicht zur Verfügung.

Anwender und Administratoren sollten das Sicherheit-Update umgehend installieren. Interimslösungen wie die Deregistrierung der Programmbibliothek "shimgvw.dll" oder der WMF-Fix von Ilfak Guilfanov sollten anschließend rückgängig gemacht werden. Die shimgvw.dll können Sie so wieder aktivieren:

1. Öffnen Sie eine Eingabeauffoderungen oder START -> Ausführen...
2. Geben Sie folgenden Befehl ein:

regsvr32 %windir%\system32\shimgvw.dll

3. Schließen Sie die Eingabe mit einem Klick auf [OK] oder mit der Eingabetaste ab.
4. Bestätigen Sie die darauf folgende Erfolgsmeldung mit [OK].

Den WMF-Fix können Sie über das Systemsteuerungs-Applet "Software" wie ein normales Programm deinstallieren. Damit alle Änderungen wirksam werden, sollten Sie Windows abschließend neu starten.

Bei Windows 98/Me ist weder die shimgvw.dll vorhanden noch funktioniert der WMF-Fix von Ilfak Guilfanov. Die Angriffsmöglichkeiten sind hier geringer, bisher gesichtete WMF-Dateien mit Exploit-Code funktionieren nach Angaben des Internet Storm Centers nicht. Die Grafikschnittstelle gdi32.dll ist jedoch prinzipiell anfällig, einige Bildbetrachter wie Xnview oder Irfanview können die Ausnutzung dieser Schwachstelle ermöglichen.

Wenn Sie noch ältere Windows-Versionen einsetzen, für die es keine Sicherheits-Updates von Microsoft mehr gibt, müssen Sie sich darauf verlassen, dass Ihr Virenscanner alle schädlichen Dateien erkennt. Dazu sollten Sie sicherstellen, dass Ihre Antivirus-Software auf die Prüfung aller Dateitypen eingestellt ist. Oft werden zur Verringerung von Geschwindigkeitseinbußen nur bestimmte Dateitypen ("Programmdateien") geprüft. Problematisch sind nicht nur Dateien mit der Endung "WMF", auch andere Endungen für Bilddateien (etwa JPG, TIF, GIF, PNG, BMP) können zur Tarnung schädlicher WMF-Dateien eingesetzt werden, zum Beispiel in Mails.

Wer unter Linux den Windows-Emulator Wine einsetzt, kann sich ebenfalls nicht vor WMF-Exploits sicher fühlen. Es existiert allerdings bereits ein Patch, der wohl in den nächsten Tagen in die Update-Pakete von Linux-Distributionen Einzug halten wird.

WMF-FAQ des Internet Storm Centers

Montag den 09.01.2006 um 16:19 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
190920