WMF FAQ Deutsch von Remover Einstellungen

[Remover]

WMF (SANS) FAQ V1.5 DEUTSCH:

Warum ist diese Angelegenheit so wichtig?

Die WMF Sicherheitsluecke benutzt Grafiken (WMF Bilder) um frei waehlbare Programme auszufuehren.
Dies passiert schon beim Anschauen einer Grafik. In den meisten Faellen, muss nichts angeklickt werden.
Selbst wenn Grafiken nur auf dem Computer gespeichert sind, kann dies bereits zur Ausfuehrung fuehren, wenn eine Benutzeroberflaechen-Suchmaschine ein Inhaltsverzeichnis der Festplatte erstellt.
Das anschauen eines Verzeichnisses im Explorer mit "Symbol Groesse (Miniaturansicht)" Bilder kann ebenfalls zur sofortigen Ausfuehrung fuehren.


Ist es besser Firefox oder Internet Explorer zu benutzen?

Internet Explorer zeigt die Bilder direkt an und fuehrt die Sicherheitsluecke damit sofort ohne Warnung aus.
Neue Versionen von Firefox fragen erst bevor sie das Bild anzeigen.
Wie auch immer, in den meisten Umgebungen, bietet das nur einen kleinen Schutz,
da Bilder im allgemeinen als sicher angesehen werden.


Welche Versionen von Windows sind betroffen?

Alle. Windows 2000, Windows XP, (SP1 and SP2), Windows 2003. Alle sind betroffen bis zur einer gewissen Tragweite.
Mac OS-X, Unix oder BSD sind nicht betroffen.

Merke: Wenn du noch immer Win98/ME benutzt, dann ist dies der Moment der Entscheidung.
Wir glauben (ungetestet) das dein System verwundbar ist und es keinen Patch von Microsoft geben wird.
Die Verringerungsoptionen sind sehr limitiert. Du solltest unbedingt auf ein moderneres System aufruesten.


Was kann ich tun, um mich selbst zu schuetzen?

>>>Mittlerweile wurde der offizielle Patch veroeffentlicht! Download unter Windows Update oder direkt hier:
http://www.microsoft.com/technet/security/...n/ms06-001.mspx

1. Microsoft hat noch kein Patch veroeffentlicht. Ein inoffizieller Patch wurde von Ilfak Guilfanov zur Verfuegung gestellt. Unser Tom Liston hat den Patch angeschaut und wir haben ihn getestet. Die angeschaute und getestete Version ist hier http://handlers.sans.org/tliston/wmffix_hexblog13.exe verfuegbar (jetzt als v1.3, MD5: 14d8c937d97572deb9cb07297a87e62a), PGP signatur (signiert mit ISC key) hier. http://handlers.sans.org/tliston/wmffix_hexblog13.exe.asc
Mittlerweile gibt es auch einen Patch v1.4 fuer automatische Installationen z.b. per Loginscript
http://www.hexblog.com/2006/01/silent_wmf_...aller.html#more
DANKE an Ilfak Guilfanov fuer den Patch!!
2.Du kannst die betroffene DLL unregistrieren.
3.Virenscanner geben einen gewissen Schutz.


Um die DLL zu unregistrieren:

Klicke auf Start, klicke ausfuehren, tippe ein
"regsvr32 -u %windir%\system32\shimgvw.dll" (ohne Anfuehrungszeichen),
und dann klicke OK.
Eine Dialog box erscheint zur Bestaetigung das der un-registrierungs Prozess erfolgreich war. Klicke OK um die Dialog Box zu schliessen.

Unsere momentane Empfehlung "nach bester Moeglichkeit" ist die DLL zu unregistrieren UND den inoffiziellen Patch zu benutzen.


Wir funktioniert der inoffizielle Patch?

Die wmfhotfix.dll wird in jeden Prozess injiziert der die user32.dll laedt. Diese DLL patcht (im Speicher) die gdi32.dll's Escape() Funktion so dass, das sie jeden Aufruf ignoriert der den Parameter SETABORTPROC (ie. 0x09) benutzt. Dies erlaubt allen Windows Programmen, WMF Dateien normal zu benutzen, waerend der Schadcode geblockt wird. Die Version des Patches ist an diesem Ort und wurde sehr genau verglichen und getestet mit dem verfuegbaren Source code als auch mit allen bekannten Versionen des WMF Sicherheitslochs.
Er sollte mit WinXP (SP1 and SP2) und Win2000 laufen.


Schuetzt das unregistrieren der DLL (ohne den inoffziellen patch zu verwenden)?

Er hilft vielleicht aber es ist nicht narrensicher.
Wir wollen klarheit schaffen: Wir haben einige starke Anzeichen dafuer, dass nur das einfache unregistrieren der shimgvw.dll,nicht immer erfolgreich ist.
Die .dll kann wieder re-registriert werden von einem boesartigen Prozess oder anderen Installationen und es gibt Anzeichen wo ein re-registerieren der .dll auf einem laufenden System zum Ausfuehren der Sicherheitsluecke gefuehrt hat. Im weiteren kann es moeglich sein das es andere Angriffsverktoren in der Escape() Funktion der gdi32.dll gibt. Bis ein Patch von Microsoft verfuegbar ist, empfehlen wir den inoffiziellen Patch und das unregistrieren der shimgvw.dll.


Soll ich die DLL einfach loeschen?

Es ist vielleicht keine so schlechte Idee, aber der Windows Dateienschutz kann sie evtl. wiederherstellen. Du solltest also erst den Windows Dateienschutz ausstellen. Wenn dann ein offizieller Patch verfuegbar ist, musst du die DLL ersetzen. (Umbenennen, anstatt loeschen ist vielleicht besser, falls man sie doch nochmal braucht.)


Sollte ich alle .WMF Bilder blockieren?

Das mag helfen, ist aber nicht ausreichend. WMF Bilder werden erkannt durch einen speziellen Kopf (Magic Header) und die Dateiendung wird dabei nicht gebraucht.
Boesartige Dateien koennen also mit anderen Dateiendungen ankommen oder in Word Dokumenten eingefuegt sein.


Was ist mit DEP (Daten Ausfuehrungs Verhinderung) und wie hilft mir das?

Mit Windows XP SP2 hat Microsoft DEP eingefuehrt. Dies schuetzt vor einer weiten Anzahl von Sicherheitslueckenprogammen, in dem es die Ausfuerhung von 'daten segmenten' verhindert. Wie auch immer, um richtig zu laufen, bedarf dies Hardware Support. Einige Prozessoren, wie z.b. AMD's 64 Bit CPUs, unterstuetzen den vollen DEP Schutz und verhindern die Ausfuehrung.


Wie gut sind Antivirus Produkte und verhindern sie die Ausfuehrung?

Im moment wissen wir von Versionen der Sicherheitsluecke die von keinen der Antivirus Produkte erkannt wird. Wir hoffen sie bessern schnell nach. Aber es wird hart sein, wirklich alle Versionen abzudecken. Den Virenschutz zu aktualisieren ist notwendig, vielleicht aber nicht ausreichend.


Wie kann eine boesartige WMF Datei in meinem Computer kommen?

Da sind zu viele Methoden um diese alle aufzuzaehlen. E-Mail Dateianhaenge, Webseiten, Instant Messaging sind vielleicht die wahrscheinlichsten Moeglichkeiten. Vergesst aber auch nicht Tauschboersen und andere Quellen.


Ist es ausreichend meinen Benutzern zu erklaeren, das sie keine unsicheren Webseiten aufrufen?

Nein. Es hilft, ist aber nicht ausreichend. Wir haben bereits eine vertrauenswuerdige Webseite (knoppix-std.org) gehabt, die betroffen war.
Es wurde ein Frame benutzt, das User auf eine komprommitierte Seite mit einem boesartigen WMF File umgeleitet hat.
Einige vertrauenswuerdige Seiten wurden schon in der Vergangenheit so missbraucht.


Was ist das aktuelle Problem mit WMF Bildern?

WMF Bilder unterscheiden sich etwas von anderen Grafiken. Sie benutzen anstatt Farbinformationen "dieses Pixel hat folgende Farbe",
auch extern aufzurufende Funktionen. Eine dieser Funktionen kann benutzt werden Programme auszufuehren.


Sollte ich etwas benutzen, wie "rechte verringern" um das Ausmass der Luecke zu reduzieren?

Ja. Arbeitet auch nicht als Administrator bei der alltaeglichen Arbeit. Wie auch immer, dies reduziert nur das Ausmass der Luecke und
wird sie nicht verhindern. Im Web surfen, ist auch nur ein Weg um sich etwas einzufangen. Wenn das boesartige Bild auf dem System ist,
kann es spaeter beim anschauen, auch ausgefuehrt werden.


Sind meine Server verwundbar?

Vielleicht.... erlaubst du das uploaden von Bildern? E-Mail? Werden diese Bilder indexiert? Benutzt du manchmal den Web Browser auf
dem Server? In kuerze: Wenn jemand ein Bild auf dem Server bringen kann, und die verwundbare DLL zeigt diese an, dann sind deine Server sehr verwundbar.


Was kann ich in meinem Sicherheitsbereich tun / Firewall um mich zu schuetzen?

Nicht viel. Ein Proxy server der Bilder von allen Web Seiten blockiert? Wird vielleicht nicht gerade gerne von den Benutzern angenommen.
Zumindestens blockiere .WMF Bilder (schaut oben bezueglich der Dateiendungen...). Wenn dein proxy eine Art Virusscanner hat, vielleicht erwischt er ja die boesartigen Bilder. Dasselbe fuer Mailserver. Je weniger du den Benutzer erlaubst, desto besser ist es. Verstaerktes ueberwachen der Benutzer PC's, gibt vielleicht den entscheidenen Hinweis auf eine Infektion.


Kann ich IDS benutzen um die Luecke aufzuspueren?

Die meisten IDS Hersteller arbeiten an Signaturen. Kontaktiere deinen Hersteller fuer Details. Bleedingsnort.org stellt staendig verbesserte signaturen fuer snort Benutzer zur Verfuegung.


Wenn ich infiziert wurde, was kann ich tun?

Nicht viel :-(. Es kommt darauf an, welche Version davon dich erwischt hat.
Die meisten laden diverse boesartige Komponenen nach. Es kann sehr hart, vielleicht sogar unmoeglich sein, alles zu finden und zu entfernen.
Microsoft bietet freien Support fuer solche Faelle an auf 866-727-2389 (866 PC SAFETY). Fuer Deutschland, Oesterreich und die Schweiz verweist der Konzern auf die ebenfalls kostenlose allgemeine Sicherheits-Hotline, die jedoch nur zu Buerozeiten erreichbar ist (D: 0,12 € pro Minute).
http://support.microsoft.com/securityhome?LN=de&x=9&y=12


Hat Microsoft Informationen dazu verfuegbar?

http://www.microsoft.com/technet/security/...ory/912840.mspx
Der Patch wurde veroeffentlicht. Installationsanleitung weiter unten.....


Was sagt CERT dazu?

http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.c...e=CVE-2005-4560


Es handelt sich um eine Uebersetzung der SANS Internet Storm Center FAQ

V1.0 erste schnelle Uebersetzung
V1.1 Erste Ueberarbeitung - beseitigung von Tippfehlern - Link Support Deutschland
V1.2 WMF Test Links und WMF Checker
V1.3 Kleine Verbesserungen und Hinweis auf Patch 1.4 fuer automatische Installationen
V1.4 Weitere Quellen fuer den Patch - Microsoft Ankuedigung fuer den offiziellen Patch
V1.5 Microsoft Patch mit Anleitung hinzugefuegt

Bitte verbreitet den Link zu diesen Thread auch in andere Security Boards.
Ich denke das diese FAQ vielen nuetzlich sein koennte....

Original Link:
http://isc.sans.org/diary.php?storyid=994&...php?storyid=994

Weitere Downloadquellen fuer den inoffiziellen Patch:
* http://www.grc.com/miscfiles/wmffix_hexblog14.exe
* http://handlers.sans.org/tliston/wmffix_hexblog14.exe
* http://castlecops.com/modules.php?name=Dow...p=getit&lid=496
* http://csc.sunbelt-software.com/wmf/wmffix_hexblog14.exe
* http://www.antisource.com/download/wmffix_hexblog14.exe
Downloadlinks

Die MD5 Pruefsumme fuer die Datei ist 15f0a36ea33f39c1bcf5a98e51d4f4f6.

WMF Testlinks (harmlos):
http://www.heise.de/security/dienste/brows...os/ie/wmf.shtml
http://www.heise.de/security/dienste/email....shtml?mail=wmf
http://kyeu.info/WMF/

WMF Checker von Hexblog:
http://www.hexblog.com/2006/01/wmf_vulnera...ty_checker.html



Microsoft Patch aufspielen:

1. System neu starten um Schadcode Dateien aus dem Speicher zu loeschen
2. Patch downloaden (z.b. ueber Windows Update oder den Link unten) und installieren
http://www.microsoft.com/technet/security/...n/ms06-001.mspx
3. System neu starten um Patch zu aktivieren
4. Inoffiziellen Patch deinstallieren mit einer der folgenden Methoden:
a. Systemsteuerung-Software aufrufen. Nach "Windows WMF Metafile Vulnerability HotFix" schauen und entfernen waehlen
b. oder auf de Kommando Ebene eingeben:
"C:\\Programme\\WindowsMetafileFix\\unins000.exe" /SILENT
c. oder, wenn der msi installer verwendet wurde auf mehreren Systemen, kann er so deinstalliert werden:
msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn
5. Re-registriere die .dll wenn du sie vorher unregistriert hattest (benutze dasselbe Kommando wie davor, nur ohne "-u"):
regsvr32 %windir%\\system32\\shimgvw.dll
6. Optional, starte nocheinmal neu, nur als gute Massregel (nicht erforderlich, aber es schadet auch nicht)

Wie haben den Patch getestet, und er blockiert die attacke genauso, wie der inoffizielle Patch.


Die FAQ steht jetzt auch als PDF File zum Download verfuegbar


Der Beitrag wurde von Remover bearbeitet: 06.01.2006, 17:53

Angehängte Datei(en)

 WMFfaqv13.pdf ( 16.1KB ) Anzahl der Downloads: 1008

 

[Universum]

@Remover
Vielen Dank für die Übersetzung, und diesen Hinweis:

Merke: Wenn du noch immer Win98/ME benutzt, dann ist dies der Moment der Entscheidung.
Wir glauben (ungetestet) das dein System verwundbar ist und es keinen Patch von Microsoft geben wird.
Die Verringerungsoptionen sind sehr limitiert. Du solltest unbedingt auf ein moderneres System aufruesten.

Das Blöde ist nur, dass mein altersschwacher Rechner (1GB; 128 MB RAM) XP nicht zulässt und ein neuer Rechner zurzeit nicht möglich - nicht mal dran zu denken - ist.

Für alle die jetzt , für meine Zwecke hat das bisher ausgereicht.
mfg

[Gast_Kurt W_*]

Merke: Wenn du noch immer Win98/ME benutzt, dann ist dies der Moment der Entscheidung.
Wir glauben (ungetestet) das dein System verwundbar ist und es keinen Patch von Microsoft geben wird.
Die Verringerungsoptionen sind sehr limitiert. Du solltest unbedingt auf ein moderneres System aufruesten.

Hallo Remover,

also ob Win98 und ME auf diesen Exploit überhaupt reagieren, da bin ich mir nicht so sicher.

Zumindest wird auch in anderen Foren heftig darüber Diskutiert, mir ist bis jetzt noch kein Fall bekannt, bei dem eines der „älteren“ System betroffen waren.

Bei WIN 98 habe ich sowieso meine Zweifel, da diese shimgvw.dll überhaupt nicht vorhanden ist, zumindest nicht auf meinem Test Rechner. Ich habe bei ME auch mal versucht diese dll mit dem Befehl zu deaktivieren ohne Erfolg, zumindest bei mir.

Gruß Kurt

Der Beitrag wurde von Kurt W bearbeitet: 02.01.2006, 11:21

[Domino]

@ Universum

Das ist natürlich blöd.


@ Remover

Danke für die Mühe die du dir gemacht hast.



Domino

[Gast_Kurt W_*]

WMF-Dateien bestehen im Gegensatz zu anderen Bildformaten nicht nur aus reinen Bitmap-Daten (Pixelkoordinaten mit Farbwerten). Sie können vielmehr auch Programm-Code enthalten, der mit der Grafikschnittstelle von Windows (GDI) interagieren kann. Die aktuellen Exploits nutzen eine so genannte Escape-Funktion in der Systembibliothek "gdi32.dll", durch die der Parameter SetAbortProc() aufgerufen wird. Darüber kann beliebiger Code geladen und ausgeführt werden. Das Problem liegt also eigentlich nicht in der "shimgvw.dll", sondern ist weit grundsätzlicher.

Na, nun schaut die Sache schon etwas anders aus. Die gdi32.dll ist ja auf 98er Systemen und ME auch vorhanden.

Ich denke aber, da dieser Exploit solche Ausmaße angenommen hat, das da Microsoft gar nichts übrig beliben wird als auch für 98 und ME einen Patch zur Verfügung zur stellen.

Gruß Kurt

[Gast_skep_*]

Ich denke aber, da dieser Exploit solche Ausmaße angenommen hat, das da Microsoft gar nichts übrig beliben wird als auch für 98 und ME einen Patch zur Verfügung zur stellen.

Warum sollte Microsoft dies tun? 98 und Me sind nunmal veraltete Betriebsysteme. Ist ja bei Linux nicht anders wo der Support bei aelterern Versionen auch eingestellt wurde.

[diddsen]

Unsere momentane Empfehlung "nach bester moeglichkeit" ist die DLL zu unregistrieren UND den inoffiziellen patch zu benutzen.

hy remover.
erst mal herzlichen dank für deine überaus mühevolle fürsorge

also reicht der patch nicht....wie du schreibst....
wie ist das mit dem patch....wenn man den jetzt ausführt, was ist dann sobald ein patch von ms da ist?... muss man diesen inoffiziellen wieder irgendwie rückgängig machen, bzw. geht das dann überhaupt oder ist das nötig ?

nicht das man dann im nachhinein mehr "arbeit" hat das wieder in den urzustand zubringen, so dass alles wieder funktioniert wie gehabt.

[Domino]

Man kann den Patch in der Systemsteuerung -> Software deinstallieren.



Domino

[Remover]

Genau, er ist ohne probleme wieder zu deinstallieren und man kann beim
erscheinen eines offiziellen Patches diesen (von Micosoft) anstatt dessen aufspielen.

[diddsen]

danke jungs

daran hab ich gar nicht gedacht

[Rios]

Möchte mich herzlichst Bedanken Jungs. Ihr macht einen guten Job.

[christian4u2]

@remover: sogar bei Kaspersky sind sie schon auf deine Übersetzung aufmerksam geworden
klick

[diddsen]

Genau, er ist ohne probleme wieder zu deinstallieren und man kann beim
erscheinen eines offiziellen Patches diesen (von Micosoft) anstatt dessen aufspielen.
[right][snapback]125767[/snapback][/right]

ist nur noch die frage, wie es sich dann mit dem automatischen update verhält, denn das bekommt man dann ja eigentlich nicht mit, wenn der patch installiert wird
sprich also, es fehlt ja dann die gelgenheit den jetzigen patch vorher zu deinstallieren oder

[Domino]

Hmmm,

dann schalte auf "downloaden aber Installationszeitpunkt selber festlegen" um.




Domino

[diddsen]

jo, ich schon
aber meine kunden
wird wohl schwierig dies allen zu verklickern, da viele gerademal den pc einschalten können (im übertriebenen sinne)

[Domino]

Bis der Patch erscheint kannst du denen das schriftlich geben.

Hast recht, wir wissen ja nicht was passiert.

BTW.: Deine Kunden dürfen das Windowsupdate ausführen ?





Domino

[diddsen]

BTW.: Deine Kunden dürfen das Windowsupdate ausführen ? 

bei denen die nur wissen wo man ihn einschaltet schon
ist die einzige möglichkeit halbwegs die patches installiert zu bekommen
es kümmert wirklich keine s... ob da ein update da ist oder nicht..... das gelbe schild könnte sich in die mattscheibe brennen, würds immer noch niemand interessieren

Der Beitrag wurde von diddsen bearbeitet: 02.01.2006, 20:40

[Remover]

Die FAQ steht ab sofort auch als PDF File zum Download verfuegbar!!!

[Domino]

Danke.

Und alle die sich jetzt fragen wo das pdf-file ist, die schauen am Ende des ersten Beitrages oder klicken hier.




Domino

[Domino]

@ Remover

Entschuldige,falls ich dir da gerade in die Parade gefahren bin.

Du meintest was anderes !

Respekt !

...und Gratulation.



Domino

[christian4u2]

@remover: und bei Gelegenheit

[Monti]

Hallo,
ich bin neu hier und nicht besonders versiert in der PC-Sprache Deshalb eine Frage:
ich habe das Patch 1.4 von der SANS Seite heruntergeladen u. installiert. Das ging so schnell und es wurde nichts wieter angezeigt. Habe ich nun das Patch oder ist dies nur ein Zusatz für das Patch 1.3 ?

fragende Grüße
Monti

[Remover]

@Monti
Der Patch V1.4 ist voellig eigenstaendig.
Die Installation geht recht flott, aber musst du musst danach unbedingt dein System neu starten.
Du kannst das ganze dann mit den WMF Checker Tool testen, ob du wirklich
geschuetzt bist.

Unter Start - Programm - Systemsteuerung - Software erscheint der installierte
Patch uebrigens auch als Windows WMF Metafile Vulnerability Hotfix Version
Da siehst du dann auch das er installiert wurde.

Der Beitrag wurde von Remover bearbeitet: 04.01.2006, 15:31

[Monti]

@Remover
danke für die schnelle Antwort. Habe Neustart durchgeführt, mit checker getestet und der zeigt Fehler an, system sei vulnerable.
Heißt das nun, dass das Patch bei mir nicht funktioniert ???

Gruss Monti

[Remover]

@Monti

Sicher das es nicht INvulnerable heisst?
Sonst waerst du in der Tat noch angreifbar....in dem Fall versuche nochmal
den aktuellen Patch zu downloaden und zu installieren.

Am besten von hier:
http://www.grc.com/miscfiles/wmffix_hexblog14.exe


@ALL

Den Patch bitte nur von den "offiziellen" aufgefuehrten Seiten downloaden.
Nur so weiss man was man wirklich auf den PC bekommt.
Es gibt bestimmt schnell Malware, die sich als Patch ausgibt!!!

Der Beitrag wurde von Remover bearbeitet: 04.01.2006, 16:37

[Monti]

@ Remover

habe ich jetzt gemacht; also erst das alte deinstalliert, über deinen Link neu installiert(ist auch unter software vorhanden), dann mit dem checker geprüft und wieder das selbe Ergenis: das System ist immer noch vulnerable.



was läuft da falsch ???

Gruß Monti

Der Beitrag wurde von Monti bearbeitet: 04.01.2006, 17:33

[jhs]

Hallo,

habe leider mehr Probleme geschaffen als vorher...
Ich habe genau wie oben beschrieben den Patch v1.4 (http://www.hexblog.com/2006/01/silent_wmf_...aller.html#more)
installiert und die DLL unregistriert mit

"regsvr32 -u %windir%\system32\shimgvw.dll"

Leider hat dies zur Folge gehabt, dass das System jetzt keine Bilder (z.B. jpgs) mehr anzeigt; nicht im Windows Explorer (Miniaturansicht) und nicht mit dem Standard-Tool der "Windows Bild- und Fax-Anzeige". Lediglich noch umständlich mit großen Grafiktools.

Eine Deinstallation des Patches hat nichts geändert.

Wie kann ich den DLL wieder zurück-registrieren?
Gibt es dafür auch einen Befehl??

Vielen Dank und Grüße!


#### NEU **** NEU #####
OK,
habe es gerade mit

regsvr32 %windir%\system32\shimgvw.dll

selber geschafft und das System läuft wieder anständig.
Trotzdem bin ich jetzt halt nicht mehr geschützt...
Ist der Befehl denn nach diesen Erfahrungen wirklich der Beste?
Gibt es andere Möglichkeiten?
#### NEU **** NEU #####

Der Beitrag wurde von jhs bearbeitet: 04.01.2006, 17:45

[Monti]

@JHS

ich habe zwar nicht viel Ahnung, dennoch glaube ich verstanden zu haben, dass das z.Z. dann so sein soll, dass das, was du beschreibst nicht mehr funktioniert bis Microsoft einen entsprechenden Patch hat. Dann geht das wahrscheinlich alles wieder.

Um die DLL wieder zu registrieren müsstest du an der Eingabeaufforderung (Ausführen) folgendes eingeben:

"regsvr32 %windir%\system32\shimgvw.dll" (ohne Anführungszeichen)

dann auf OK.

Vielleicht wartest du aber lieber, bis einer der Ahnung davon hat, dies alles bestätigt.

Gruß Monti

[Gast_zipfelklatscher_*]

Nebenbei gesagt, MS hat sein Advisory aktualisiert und rät vor einer Installation des inoffiziellen Patches ab.

siehe auch: http://www.pcwelt.de/news/sicherheit/128739/index.html

Der Beitrag wurde von zipfelklatscher bearbeitet: 04.01.2006, 17:48

[jhs]

@Monti

DANKE! Läuft wieder alles, so wie Du gesagt hast.

Habe dann mal nur den Patch rübergezogen, und läuft auch noch.
Werde das jetzt mal so lassen bis MS was Offizielles bringt!

Danke und schönen Abend!

Grüße!

[anton]

hallo,

hatte gestern nach der installattion des patch und dem unregistrieren probleme, bilddateien zu öffnen (d.h. "vorschau" und diashow funktionieren nicht mehr).
hab deshalb den patch deinstalliert, wie kann ich die dll wieder registrieren? oder denkt ihr, das alles liegt an etwas ganz anderem?

ok, hat sich erledigt, habs einfach wie oben beschrieben gemacht, hätte fertig lesen sollen....

Der Beitrag wurde von anton bearbeitet: 04.01.2006, 18:07

[Remover]

Also es ist so, das der Patch selber nicht diese Auswirkungen hat aber das
unregistrieren fuehrt dazu, das keine Vorschaubilder mehr gehen.

Wenn ihr das wirklich so dringend braucht und euch eure Sicherheit nicht
so wichtig ist, koennt ihr auch nur den Patch aufspielen bzw. die DLL wieder
registrieren, indem ihr einfach das -u bei der eingabe weglasst.
Mein persoenlicher Rat ist aber beides zu machen und auf den
10.01.06 zu warten und solange auf Bildervorschau usw. zu verzichten.


@Monti
Sorry, da bin ich zur Zeit ratlos...was bei dir verkehrt laeuft.

@Zipfelklatscher

Quelle Silicon
Die Ankündigung, dass Microsoft die WMF-Lücke (Windows Meta File) erst am 10. Januar als Teil des monatlichen Security Bulletins schließen will, ist auf harsche Kritik gestoßen. Bis dahin überlasse man die Anwender ungnädig ihrem Schicksal, werfen Sicherheitsexperten dem Unternehmen vor.

Das Internet Storm Center (ISC) schreibt auf der Kommentarseite Handlers's Diary, die IT-Leiter müssten sich nun fragen, ob sie das riskante Spiel spielen und auf den Patch warten wollten. Sie müssten sich überlegen, ob sie es sich leisten können, noch eine weitere Woche mit einer Lücke zu leben und es darauf ankommen lassen, dass kein Hacker ihr Netz angreift.

Damit muss allerdings gerechnet werden. Eine Vielzahl von Systemen sind derzeit löcherig und deshalb leichte Angriffsziele für Eindringlinge. Und: die Hacker haben die Zeit auf ihrer Seite. Je länger die Schwachstelle besteht, desto mehr erfahren sie über die Lücke und desto ausgebuffter ist dann der Exploit. Es handele sich wohl nur noch um Tage bis es einen Wurm gebe, der sich selbst weiter verbreite und noch mehr Systeme infiziere, sagen Experten. 

Es gibt nunmal keine bessere Alternative.... als der inoffizielle Patch.
Wenn Microsoft das ganze planmaessig faehrt, duerfte es fuer viele
laengst schon zu spaet sein!







Der Beitrag wurde von Remover bearbeitet: 04.01.2006, 21:09

[diddsen]

Es gibt nunmal keine bessere Alternative.... als der inoffizielle Patch.
Wenn Microsoft das ganze planmaessig faehrt, duerfte es fuer viele
laengst schon zu spaet sein!

das denke ich auch.
denn wie ich gelesen habe ist es nicht möglich bei einem "befall" sich wieder clean zu machen davon.
also wer jetzt immer noch auf den 10.1. wartet bis ms den patch bringt..... der ist selber schuld

[Monti]

@Remover

könnte es sein, dass Bitdefender irgendetwas verhindert ? Ich sehe nämlich nach wie vor auch die Miniaturbilder in der Dateienvorschau. Das sollte doch eigentlich das Deregistrieren verhindern, oder ?

Gruß Monti


Das habe ich in der FAQ von hexblog.com gelesen und trau mich da nicht ran,
weil ich nicht sicher bin, ob ich wirklich alles verstehe:


How to check that the hotfix is working on my computer?
Use the checker to verify that the hotfix works. If should report that your system is invulnerable. In it reports that your system is still vulnerable, check the HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs registry key. It should contain a reference to c:\windows\system32\wmfhotfix.dll. There are some programs known to clean up this registry key. The fix will not work in this case. You should find and disable the program which cleans the registry key or uninstall the hotfix.


Der Beitrag wurde von Monti bearbeitet: 04.01.2006, 21:46

[Gast_zipfelklatscher_*]

http://www.eset.com/about/press.htm#media

Kann das hier mal jemand, zumindest den ersten Absatz, übersetzen ?

Domino, wie wär's ?

ESET scheint hier auch etwas als Schutz anzubieten. Ich verstehe allerdings nur Bahnhof. Keine Ahnung also ob man sich diesen Patch installieren soll oder nicht.

Auf der deutschen Seite www.nod32.de ist hierzu leider mal wieder nichts zu finden.

Der Beitrag wurde von zipfelklatscher bearbeitet: 04.01.2006, 23:01

[Domino]

bla bla bla

Als NOD32 Nutzer brauchst du den Patch nicht, alle anderen dürfen ihn aber auch haben.
Was er macht, der Patch, steht da aber nicht.




Domino

[Monti]

ESET, a global provider of security software for enterprises and consumers, announced today that its NOD32 protects against a new Windows Metafile (WMF or .wmf) vulnerability for which Microsoft does not yet have an available resolution. Users running Microsoft Windows ME, 2000, XP and Windows 2003 systems are vulnerable to a “loophole” in WMF which enable cyber criminals to take control of online devices and execute malicious code. With a patch from Microsoft pending for January 10, 2006 at the earliest, ESET has made an interim patch available for both customers and non customers.

Ich versuch's:

ESET, ein weltweiter Anbieter von Sicherheitsprogrammen für Unternehmen und Anwender, hat heute bekannt gegeben, dass sein NOD32 gegen den neuen Windows Metafile... schützt, für den Microsoft noch keine Lösung bereitgestellt hat. Anwender von WinME, 2000, XP und Win2003 sind angreifbar durch ein "Schleifenloch"(???) in WMF, das Cyber Kriminelle in die Lage versetzt, Kontrolle über online devices zu bekommen und schlechte codes auszuführen. Mit einem Patch von Microsoft, der frühestens am 10. Januar zu bekommen ist, hat ESET einen Zwischenlösungs-Patch geschaffen, sowohl für Kunden, als auch Nicht-Kunden (???).

...
Bin mir mit manchen Vokabeln nicht ganz sicher, zumal ich insbesondere der PC-Sprache nicht mächtig bin

Vielleicht hilft es dennoch ein bisserl weiter...

Grß Monti

[diddsen]

http://www.eset.com/about/press.htm#media

ist das nicht der inofizielle patch, nur hat eset den wohl "geklaut"
remover, was meinst du?


Der Beitrag wurde von diddsen bearbeitet: 05.01.2006, 00:26

[Monti]

Bei mir hat ja das Hotfix nicht funktioniert; nun habe ich mal dieses ESET-Teil installiert und siehe da, der Checker sagt nun zumindest(siehe Anlage)




Gruß Monti

Angehängte Datei(en)

 Bild10.jpg ( 16.74KB ) Anzahl der Downloads: 138

 

[Paul Wilders]

ist das nicht der inofizielle patch

Jede patch der nicht von MSoft kommt, ist ja inofizziel...

nur hat eset den wohl "geklaut"
remover, was meinst du?

[right][snapback]126292[/snapback][/right]

Neu....ist nicht geklaut - Paolo Monti ist der author

cheers,

paul

[Monti]

Neu....ist nicht geklaut - Paolo Monti ist der author

hat aber nichts mit mir zu tun


Gruß Monti

[Homb]

Was ist von diesem Paolo Monti-Patch zu halten? Bietet der noch umfangreicheren Schutz?

[Gast_vorkoster_*]

Was ist von diesem Paolo Monti-Patch zu halten? Bietet der noch umfangreicheren Schutz?
[right][snapback]126343[/snapback][/right]

Ein tagesaktueller Antivirus-Schutz ist eigentlich immer angebracht,
egal ob von NOD32/Eset oder sonstwoher.

Der McAfee-Hintergrundscanner hat in den letzten Tagen bei mir in puncto WMF-Exploit-Erkennung übrigens immer etwas moniert, wenn ich ihn testhalber "gefüttert" habe. Auch vor/ohne Einspielen des Ilhak-Patches.

Dies soll jetzt aber keine Kaufempfehlung sein

[Remover]

Ich empfehle jedenfalls den Patch von Ilfak Guilfanov, da dieser von SANS getestet wurde und dort der Source Code vorliegt.
Nicht das NOD32/ESET nicht vertrauenswuerdig waere aber sicher ist sicher,.....

[Homb]

Ein tagesaktueller Antivirus-Schutz ist eigentlich immer angebracht,
egal ob von NOD32/Eset oder sonstwoher.

Dieser Patch hat doch nichts mit Antivirus-Schutz zu tun. Ist doch vielmehr ein Betriebssystem-Patch oder versteh ich da was falsch?

[Monti]

und dort der Source Code vorliegt.

bitte nicht lachen, was bedeutet dieser Code, wofür ist der wichtig??? Hätte ich da etwas eingeben müssen, funktioniert deshalb der Ilfak-Patch bei mir nicht ?




Der Beitrag wurde von Monti bearbeitet: 05.01.2006, 21:11

[diddsen]

patch von ms ist da

http://www.winfuture.de/downloadstart,1136504201,1542.html

[Homb]

Windows Update aufgespielt, mit WMF-Checker geprüft, Ergebnis "unverwundbar". Bei der nächsten Internetverbindung mit Firefox wurde als geänderte Komponente gdi32.dll angezeigt. Dann war Ruhe. Sieht gut aus. Soweit ich das beurteilen kann.

Vorher Ilfak-Patch deinstalliert und shimgvw.dll wieder registriert. D.h. Windows Bild- und Fax-Anzeige funktioniert wieder. Miniaturansicht im Explorer auch.

Der Beitrag wurde von Homb bearbeitet: 06.01.2006, 04:32

[diddsen]

anscheinend funktioniert es auch wenn man den ms-patch vor der deinstallation des inoffiziellen patches installiert.

hab dies bei einem rechner mal so gemacht und dann den wmf-checker ausgeführt und alles war gut

doch sicher bin ich mir da nicht, ob die so dann alles richtig ist

aber für die wo vollautomatisches update bei windows eingestellt haben ist die eh die einzige möglichkeit

[Gast_zipfelklatscher_*]

Zur Diskussion hinsichtlich des auf ESET verfügbaren Patch würde es sich anbieten, doch mal das deutsche NOD 32 Forum zu besuchen. Denn genau dort findet sich eine Antwort darauf direkt von HB ( ESET ).

[Gast_zipfelklatscher_*]

@ Kurt,

unter diesem Link ist die Rede davon ( letzter Absatz des Beitrags ) das wohl auch die Windows 98' Versionen betroffen seien.

http://portale.web.de/Computer/Sicherheit/msg/6044685/

[Domino]

Ich habe den Eindruck das Microsoft bei dieser Gelegenheit die Altlasten los werden will.
Korrigiert mich wenn ich mich täusche aber ME & W98 sind betroffen, bekommen aber keinen Patch, ergo: auf xp oder gleich Vista hochrüsten.




Domino

[diddsen]

jo, das kann sein.

aber sag mal....würdest du es nicht auch loswerden wollen

[Gast_Jens1962_*]

oder gleich Vista hochrüsten.[right][snapback]126522[/snapback][/right]

Hast Du Dir mal die Hardware-Anforderungen angesehen? Da wird auf vielen Rechnern (wenn überhaupt) nur die abgespeckt-Version laufen, dafür kauft niemand ein neues OS.

[Gast_zipfelklatscher_*]

Ich habe den Eindruck das Microsoft bei dieser Gelegenheit die Altlasten los werden will.
Korrigiert mich wenn ich mich täusche aber ME & W98 sind betroffen, bekommen aber keinen Patch, ergo: auf xp oder gleich Vista hochrüsten.
Domino
[right][snapback]126522[/snapback][/right]

Yep, genauso sehe ich es. Wenn ich mich allerdings in meinem Bekanntenkreis umhöre scheint es unglaublich, wie viele noch per Windows 98 unterwegs sind. Und btw. ich kann das durchaus verstehen. Ich hatte auch lange Windows 98 und fand es prima. Vor allem aber auch, deutlich weniger löchrig.

Der Beitrag wurde von zipfelklatscher bearbeitet: 06.01.2006, 15:38

[Domino]

Zumal xp Home 80€ kostet und auf Rechnern mit 256MB Ram nicht ordentlich läuft.
Und für surfen und ein bischen Word ist W98 völlig ausreichend. Warum sollte da jemand wechseln ? (von wmf jetzt mal abgesehen, wer weiß davon schon)





Domino

[Gast_zipfelklatscher_*]

Zumal xp Home 80€ kostet und auf Rechnern mit 256MB Ram nicht ordentlich läuft.
Und für surfen und ein bischen Word ist W98 völlig ausreichend. Warum sollte da jemand wechseln ? (von wmf jetzt mal abgesehen, wer weiß davon schon)
Domino
[right][snapback]126529[/snapback][/right]

Jetzt ist XP-Home günstiger geworden. Erinnert Euch was das Teil zu Anfang gekostet hat. Insofern, wie Domino schon sagt, für ein wenig surfen und allgemeine Büroarbeiten, reicht Windows 98 allemal aus.

Ist aber doch in der Industrie überall so. Versucht mal für ein bestimmtes Produkt nach nur wenigen Jahren Ersatzteile zu bekommen. Da haut es einem den Vogel raus was die Teile dann kosten sollen. Vorausgesetzt, solche sind überhaupt noch erhältlich.

[Domino]

Ja. Andererseits ist das Betriebssystem sehr preiswert.
Wenn ich den Preis den ich gezahlt habe durch die Betriebsstunden teile.

Klar, bei Firmenlizenzen sieht das ganz anders aus.

Aber für einen Privatanwender ist das recht preiswert, vor allem wenn es bereits vorinstalliert ist, man bedenke auch die kostenlose Verfügbarkeit von Patches.
Da muß man echt froh sein das es nicht von VW vertrieben wird. (oder jedwede andere Automarke falls du VW-Fan bist ).



Domino

[Solution-Design]

Ja. Andererseits ist das Betriebssystem sehr preiswert.
Wenn ich den Preis den ich gezahlt habe durch die Betriebsstunden teile.

Ich teile diesbezüglich deine Meinung, obwohl das ein paar EU-Heinis ganz anders sehen.

Klar, bei Firmenlizenzen sieht das ganz anders aus.

Nicht wirklich. Erstens sind die Mehrfachlizenzen günstig genug, zweitens werden mit solchen PCs Gewinne eingefahren. Also ist auch in diesem Fall das MS-BS nicht teuer. Jeder Willi kennt sich damit aus und für die Administration reicht mittlerweile ein Hilfskurs @home

Zum Thema Patch: Obwohl ein bissel spät, versucht der ein oder andere Softi damit wohl auch noch sein Produkt an den Mann zu bringen http://www.downloadmix.de/dmix/index.asp?D...p&soft_ID=10371

[Voyager]

ist ja lustig "Starten sie daher ...bla bla .. nach jedem PC-Start neu" steht in der meldung , da würde ich lieber den inoffiziellen patch verlinken

[Remover]

Microsoft Patch aufspielen:

1. System neu starten um Schadcode Dateien aus dem Speicher zu loeschen
2. Patch downloaden (z.b. ueber Windows Update oder den Link unten) und installieren
http://www.microsoft.com/technet/security/...n/ms06-001.mspx
3. System neu starten um Patch zu aktivieren
4. Inoffiziellen Patch deinstallieren mit einer der folgenden Methoden:
a. Systemsteuerung-Software aufrufen. Nach "Windows WMF Metafile Vulnerability HotFix" schauen und entfernen waehlen
b. oder auf de Kommando Ebene eingeben:
"C:\\Programme\\WindowsMetafileFix\\unins000.exe" /SILENT
c. oder, wenn der msi installer verwendet wurde auf mehreren Systemen, kann er so deinstalliert werden:
msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn
5. Re-registriere die .dll wenn du sie vorher unregistriert hattest (benutze dasselbe Kommando wie davor, nur ohne "-u"):
regsvr32 %windir%\\system32\\shimgvw.dll
6. Optional, starte nocheinmal neu, nur als gute Massregel (nicht erforderlich, aber es schadet auch nicht)

Wie haben den Patch getestet, und er blockiert die attacke genauso, wie der inoffizielle Patch.

Der Beitrag wurde von Remover bearbeitet: 06.01.2006, 17:51

[Gast_rock_*]

da haben ashampoo sogar ein tool gemacht:
http://www.winload.de/download/49301/Utili...locker-1.0.html

[Solution-Design]

da haben ashampoo sogar ein tool gemacht:
http://www.winload.de/download/49301/Utili...locker-1.0.html
[right][snapback]126641[/snapback][/right]

Stimmt, ist sogar hier schon aufgefallen: http://www.rokop-security.de/index.php?sho...ndpost&p=126549