rocky7-Board, das Allround-Forum
   Registrierung Kalender Mitgliederliste Teammitglieder Suche Häufig gestellte Fragen Galerie Zur Startseite Zum Portal

| TOP 1000 | SchanzerForum | rocky7-TOPLIST | rocky7-Fotografie | rocky7 by flickr.com |

rocky7-Board, das Allround-Forum » News&.Allgemeines zu IT-Security » Computersicherheit » [ Computer - Ecke ] » Vireninfos » Gefährliche Windows-Schwachstelle » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Gefährliche Windows-Schwachstelle
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dr.roro dr.roro ist männlich
+++ hasse Gehirnlose +++


images/avatars/avatar-81.jpg

Dabei seit: 13.08.2004
Beiträge: 2.681
Herkunft: Limbach-O.
I-NET Leitung: 4600er Kabel-Breitband
I-NET Provider: Infocity
Hat das Board gefunden durch: Freund

Bewertung: 
17 Bewertung(en) - Durchschnitt: 7,65

Level: 52 [?]
Erfahrungspunkte: 14.944.363
Nächster Level: 16.259.327

1.314.964 Erfahrungspunkt(e) für den nächsten Levelanstieg

Gefährliche Windows-Schwachstelle Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Hintergrund

Windows Metafile (WMF) ist ein proprietäres Grafikformat. Es wurde entwickelt für den Austausch von Grafiken über verschiedene Programme hinweg. Dieses Grafikformat erlaubt es in den Metainformationen des Dokumentes ausführbaren Programmcode zu speichern und an Empfänger zu übermitteln. Werden Grafiken im WMF-Format abgespeichert, so tragen die Dateien die 3-buchstabige Dateierweiterung ".wmf". In der WMF-Rendering-Engine gibt es eine Schwachstelle, die es einem entfernten Angreifer ermöglicht, beliebigen Code in WMF-Dateien mit Benutzerrechten auf betroffenen Systemen auszuführen.

Die Schwachstelle kann neben Windows Metafile (WMF) auch über Enhanced Metafile (EMF) Dateien ausgnutzt werden. Erfolgreiche Angriffe fanden bislang über E-Mail, hier insbesondere in Grusskarten zum neuen Jahr das Surfen im Internet und über gemeinsam genutzte Dateisysteme statt. Es reicht bereits die Vorschau einer schadhaften E-Mail oder einer schadhaften Datei im Windows Explorer aus, um den schadhaften Code auszuführen und nicht geschützte Systeme anzugreifen.

Häufig enthalten die infizierten WMF-Dateien keinerlei Bildinformationen sondern nur den schadhaften Programmcode. Weiterhin können auch umbenannte WMF-Dateien mit der anfälligen Komponente verarbeitet werden. So können Angreifer z. B. eine in ".JPG" umbenannte WMF-Datei für Angriffe einsetzen.

Auswirkung & Betroffene Systeme

Die Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes von entfernten Standorten. Der Angreifer muss hierfür sein Opfer dazu verleiten eine schadhafte Datei zu öffnen, zum Beispiel durch eine geeignete gestaltete E-Mail oder Web-Seite zu besuchen. Die Schwachstelle wird derzeit aktiv dazu verwendet, weitere Schadprogramme wie zum Beispiel Trojanische Pferde nachzuladen.

Benutzer des Internet Explorer können durch den Besuch einer Web-Seite automatisch von Schadprogrammen infiziert werden, die die Sicherheitslücke ausnutzen.

Benutzer des Firefox können infiziert werden, wenn sie sich auf Standard-Nachfrage des Browsers dazu entscheiden, dennoch die entsprechende WMF-Datei auszuführen.

Betroffene Systeme

Von der Schwachstelle betroffen sind laut Hersteller folgende Versionen:

* Microsoft Windows 2000 Service Pack 4
* Microsoft Windows XP Service Pack 1
* Microsoft Windows XP Service Pack 2
* Microsoft Windows XP Professional x64 Edition
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 for Itanium-based Systems
* Microsoft Windows Server 2003 SP 1
* Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
* Microsoft Windows Server 2003 x64 Edition
* Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)
* Microsoft Windows Millennium Edition (ME)

Andere Windows-Versionen sind möglicherweise ebenfalls von der Schwachstelle betroffen.

Patches & Gegenmaßnahmen

Bisher gibt es von Microsoft keine Patches zur Behebung der Schwachstelle. Die Betriebssysteme Windows 98 und Windows ME werden von Microsoft nicht mehr gewartet. Es ist nicht abzusehen, ob von dem Hersteller für diese Versionen überhaupt ein Patch zur Beseitigung der Sicherheitslücke entwickelt wird.

Gegenmaßnahmen

Microsoft empfiehlt als Workaround Massnahme "Windows Picture and Fax Viewer" (Shimgvw.dll) auf Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 und Windows Server 2003 Service Pack 1 zu de-registieren. Dies muss mit dem Kommando regsvr32 -u %windir%\system32\shimgvw.dll ausgeführt werden. Klicken Sie hierfür in der Windows-Taskleiste auf "Start" und dann auf "Ausführen". Geben Sie das Kommando in die nun erscheinende Befehlszeile ein und klicken auf "OK".

Diese Massnahme hat zur Folge, dass der "Windows Picture and Fax Viewer" nicht mehr ausgeführt wird, wenn eine Datei, die mit dieser Funktionalität verknüpft ist, von dem Benutzer geöffnet wird. Durch erneute Registrierung von Shimgvw.dll kann der Workaround rückgängig gemacht werden. Dazu muss das Kommando regsvr32 %windir%\system32\shimgvw.dll ausgeführt werden.

Da Angriffsszenarien möglich sind, bei denen Grafik-Dateien mit anderen Endungen zum Ausnutzen dieser Schwachstelle eingesetzt werden, ist eine sehr weitreichende Gegenmassnahme an E-Mail und Web Sicherheitsgateways alle Grafikdateitypen zu blocken. Diese Massnahme ist in Einzelfällen zu prüfen und zu entscheiden.

Im Firefox Browser wird in der Standardinstallation immer nachgefragt, ob "WMF"-Dateien geöffnet werden sollen. Sie können diese Einstellung unter "Einstellungen > Extras > Downloads" prüfen. Für die betroffenen Dateitypen (WMF und EMF) sollte keine automatische Anzeige konfiguriert sein.


Quelle: www.freenet.de / Bundesamt für Sicherheit in der Informationstechnik

Ich habe mein FireFox so eingestellt aber mehr mach ich aber auch nicht. Da bleibt wohl nicht viel als abzuwarten - oder ?
Blöd ist und erschwerent das man das Ding nicht mal mehr über die Endung identifizieren kann.

 

 

 

 

 



__________________

www.privat-lan.com

04.01.2006 19:59 dr.roro ist offline E-Mail an dr.roro senden Beiträge von dr.roro suchen Nehmen Sie dr.roro in Ihre Freundesliste auf Fügen Sie dr.roro in Ihre Kontaktliste ein
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von dr.roro am 04.01.2006 um 19:59 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
rocky7-Board, das Allround-Forum » News&.Allgemeines zu IT-Security » Computersicherheit » [ Computer - Ecke ] » Vireninfos » Gefährliche Windows-Schwachstelle

Forensoftware: Burning Board 2.3.6 pl2, entwickelt von WoltLab GmbH

Besucher heute: 277 Besucher gestern: 438 Besucher gesamt: 4938272
Bisher wurden 846 Angriffe protokolliert und davon 846 erfolgreich abgewehrt.


Impressum | Team | Suchen | Hilfe | Meinewebgalerie.de