1.1.2006
Es ist schon bezeichnend, mit welcher Meldung wir dieses Jahr aufmachen (direkt zum Sicherheits-Patch):
Die WMF-Lücke, mit der sich WindowsMetaFile-Bilder (die sich auch als JPG oder GIF tarnen können) dazu ausnutzen lassen, beliebige Schadprogramme auf einem PC zu installieren (durch den Besuch einer WWW-Seite, per empfangenen Email usw.) breiten sich zur Zeit, z.B. über 'Happy New Year' Emails, rasant aus.
In diesen Emails wird beim Öffnen des als JPG-Bild getarnten HappyNewsYear.jpg eine Hintertür im PC installiert, über die sich der Computer komplett und vom Nutzer unbemerkt fernsteuern läßt.
Der verwendete Code ist nicht mit den bisherigen WMF-Exploits verwandt, sodass die bereits existierenden Viren-Signaturen versagen.
Auch der Besuch einer präparierten Website reicht für eine Infektion aus, und zwar unabhängig vom verwendeten Browser (auch Firefox und andere sind betroffen). Weitere Einfallstore sind z. B. Messenger-Programme.
Die WMF-Exploits sind sehr infektiös: Der Fehler in der Windows Rendering-Engine wird von verschiedesten Programmen angestoßen, sofern die Datei nur auf der Platte des Anwenders gelangt ist. Neben der Vorschau-Funktion des Explorers reicht z. B. der Hintergrunddienst des Google-Desktops aus, der automatisch Vorschaubilder produziert.
Microsoft >> empfiehlt die verwundbare DLL "Shimgvw.dll" zu "deregistrieren", und zwar über die Kommandozeile: Über Start, Ausführen "regsvr32 -u %windir%\system32\shimgvw.dll" (ohne Anführungszeichen eingeben). Damit ist der Computer aber nur mittelmäßig geschützt, da Programme die DLL auch direkt aufrufen können. Außerdem wird damit eine Vorschau (ausdrucken,...) auf alle Bilder abgeschaltet.
Ein richtiger, offizieller Patch von Microsoft läßt weiter auf sich warten.
Aber es gibt Rettung: Ilfak Guilfanov >>, der Entwickler des Disassemblers IDA Pro und anerkannter Windows-Guru, hat kurzerhand einen eigenen Patch erstellt, der z.B. auch von f-secure >> oder dem Internet-Storm Center >> empfohlen wird.
Dieser Sicherheits-Patch erlaubt die weitere Nutzung der DLL und schaltet unabhängig von speziellem Schadcode (und damit auch Viren-Signaturen) genau die Funktionen ab, die für die Lücke ausgenutzt werden. Er verfügt außerdem über eine sehr schöne Uninstall-Funktion (über Systemsteuerung -> Software zu erreichen), so dass er nach einem offiziellen Patch von Microsoft jederzeit wieder deinstalliert werden kann!
Microsoft hat mittlerweile einen Patch für den 10. Januar angekündigt. Inzwischen warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Schwachstelle im Microsoft Betriebssystem Windows Grafikformat "Windows Metafile" (WMF) >>. Heise bietet eine schöne Demo der Lücke auf dem c't Browsercheck >>.
Wir empfehlen, mit dem Patch nicht auf Microsoft zu warten, denn mittlerweile gibt es ein Programm namens WMFMaker, mit dem man ganz automatisch beliebigen Schadcode in WMF-Bilder packen kann.
Und jetzt (!) hat es auch Spiegel-Online >> mitbekommen: der Artikel warnt vor "dem womöglich größten Sicherheitsloch in Windows-Betriebssystemen überhaupt". Auch der Spiegel empfiehlt den Sicherheitspatch von Ilfak Guilfanov.
Die original Seite ist wegen zu hohem Datenaufkommen vom Netz genommen worden, zur Zeit gibt es nur eine Not-Site >> mit verweisen zu verschiedenen anderen Sites, wo der Patch downgeloaded werden kann.
Da der Sicherheits-Patch wegen zu vieler Downloads teilweise nicht mehr zu erreichen ist, stellen auch wir eine Kopie des Programms über unseren Server zur Verfügung: wmffix_hexblog14.exe Der Patch öffnet sich in einem neuen Fenster: Entweder "speichern", oder am einfachsten gleich "ausführen" (und damit installieren). Lizenzbedingungen akzeptieren (danach immer "Next" drücken), anschließend den Computer rebooten.
In der Nacht hat Microsoft den für den 10. Januar angekündigten Patch bereits vorab bereitgestellt und veröffentlicht!
Er ist über Windows-Update >> sowie über die automatische Updatefunktion für Windows (soweit aktiviert) verfügbar. Sie sollten dieses Update auf jeden Fall installieren, gegebenenfalls die automatische Update-Funktion aktivieren. Nachdem Sie sichergestellt haben, dass das Update heruntergeladen und installiert wurde, können Sie den Not-Patch von Ilfak Guilfanov ganz einfach über die Systemsteuerung -> Software deinstallieren.
Falls Sie die betroffene DLL "deregistriert" können Sie über die Kommandezeile die DLL wieder registrieren: Über Start, Ausführen "regsvr32 %windir%\system32\shimgvw.dll" (ohne Anführungszeichen eingeben).
Anschließend sollten Sie über den c't Browsercheck >> überprüfen, ob Ihr Computer wirklich gesichert ist. Bei diesem Test sollte auch Ihr Virenscanner "anschlagen" und die Testdatei als "befallen" identifizieren (wenn nicht, taugt er nichts).
Weiter im Regen stehen Anwender von Windows 98, Windows ME und auch NT4. Hier stellt Microsoft keine Updates mehr zur Verfügung. Auch eine Methode alte Systeme "auszumustern".