WMF-Sicherheitslücke Einstellungen

[Manu]

Noch im alten Jahr, nämlich am 27. Dezember 2005, wurde eine Schwachstelle bekannt, die vermutlich alle Versionen (über Windows ME gibt es bislang keine stimmigen Aussagen) des Betriebssystems Windows betrifft. Das alleine Betrachten einer Grafik im WMF-Format genügt um infiziert zu werden. Dadurch gelingt es auf dem Rechner Malware jeglicher Art zu installieren und auszuführen.

Da der Internet Explorer diese Grafiken standardmäßig automatisch öffnet, ist höchste Vorsicht geboten. Allerdings sind auch andere Browser vor diesem Problem nicht geschützt, kommt es doch stark auf die Konfiguration und die parallel laufenden Schutzkomponenten an.

Auch das Navigieren durch Ordnerinhalte auf der Festplatte mit dem "Windows Explorer" kann gefährlich werden. Befindet sich ein präpariertes Bild im Ordner, genügt allein das Darstellen in der Vorschau um infiziert zu werden.

Ein offizieller Patch ist bislang noch nicht verfügbar, allerdings existiert ein "Workaround".
Das Installieren eines inoffiziellen Patches von Ilfak Guilfanov in Kombination mit der Deregistrierung einer betroffenen Programmbibliothek (.dll-Datei) schützt angeblich. Diese Maßnahme bringt allerdings die unangenehme Tatsache mit, dass gewisse Funktionen rund um das Anzeigen von Bildern nicht mehr ordnungsgemäß ausgeführt werden können.

Die Hersteller der Anti-Virus Programme haben sich dem Problem bereits angenommen und somit erkennen die unterschiedlichen Programme einiges der bekannten Schädlinge. Jedoch wird immer wieder davon berichtet, dass einige Schädlinge noch unerkannt sind. Dies ist unter anderem wohl damit zu erklären, dass es sich um eine Bilddatei handelt und Bilddateien lange Zeit als "ungefährlich" galten. Zudem muss das Anti-Virus Programm den HTTP-Verkehr überprüfen um schon bei der Darstellung einer Internetseite mit schadhaftem Bild blockieren zu können.

WMF-Bilder sind leider nicht über die Dateiendung auszumachen. Wird einer WMF-Datei beispielsweise die Endung JPG versehen, verarbeitet Windows diese - für den Benutzer offensichtliche JPG-Datei - dennoch als WMF-Datei. Heise berichtet von einem aktuellen Fall und benennt eine "HappyNewYear.jpg"-Datei, die per E-Mail versendet wird.

Weiterführende Informationen:

• Allgemeine Diskussion im Forum
• Deutsche FAQ rund um das Thema (Original von SANS. Übersetzt und verwaltet von unserem Mitglied Remover. Vielen Dank!)
• Patch von Ilfak Guilfanov