Ilfak - Patch 1.3, Erfahrungen ? Einstellungen

[Domino]

In diesem Thread bitte ich um Erfahrungen mit dem Ilfak-Patch.

link





Domino

[Domino]

Ich teste den momentan auf W2k SP4.

Keinerlei Probleme bisher.




Domino

[christian4u2]

Funktioiniert auch bei mir gut. (WINXP SP2 mit allen (alten) Patches)
Nach installation bestehe ich auch den schon im anderen thread geposteten Test:

http://www.hexblog.com/2006/01/wmf_vulnera...ty_checker.html

[Gast_Jens1962_*]

ohne Patch:

Kategorie: Intrusion Prevention
Datum,Benutzer,Meldung,Details
02.01.2006 15:13:17,Supervisor,Unberechtigter Zugriffsversuch erkannt und blockiert. Die Kommunikation mit www.hexblog.com(72.41.101.136) wird für 30 Minuten blockiert.,Unberechtigter Zugriffsversuch erkannt und blockiert. Die Kommunikation mit www.hexblog.com(72.41.101.136) wird für 30 Minuten blockiert.
02.01.2006 15:13:17,Supervisor,Zugriffsversuch: HTTP MS Windows WMF Code Exec.,"Zugriffsversuch: HTTP MS Windows WMF Code Exec.  Angreifer: www.hexblog.com(72.41.101.136)(http(80)).   Risikostufe: Hoch.  Protokoll: TCP.  Angegriffene IP: localhost.  Angegr. Port: 1325."

Ich mach dann in 'ner halben Stunde mal weiter.

edit: Wie soll man einen Patch ausprobieren, wenn man überhaupt keinen Zugriff bekommt?

Der Beitrag wurde von Jens1962 bearbeitet: 02.01.2006, 15:20

[christian4u2]

Also bei mir mit Firefox kommt beim starten der .exe erst dieses Bild:

http://www.hexblog.com/security/pix/wmf_welcome.gif

und dann beim bestätigen mit der OK-taste das folgende:

http://www.hexblog.com/security/pix/wmf_ok.gif

Und ohne Patch war es noch dieses:

http://www.hexblog.com/security/pix/wmf_bad.gif

(Vorher mußte ich allerdings die proaktiv-warnung von KAV bestätigen )

[Gast_vorkoster_*]

Die neue Patch-Version 1.4 verwendet ja Schalter und kann so einfacher im Netzwerk verteilt werden

(z.B. mit "wmffix_hexblog14.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART")

Kennt jemand einen Schalter zur Deinstallation bei Bedarf (wenn ein Microsoft-Patch verfügbar ist)? Bisher konnte ich keinen finden.

[Homb]

Deinstallationsmöglichkeit wird über Systemsteuerung\Software unter Windows WMF ... Hotfix 1.4 angezeigt.

[Gast_2cool_*]

.....Ich mach dann in 'ner halben Stunde mal weiter.....[right][snapback]125793[/snapback][/right]

Würde mich ja nerven, wenn ich nicht mehr selbst über meinen Rechner bestimmen kann.

[...]
Die Kommunikation mit dem Internet wird für 30 Minuten blockiert.
[...]

*SCNR*




Hatte bisher keine Probleme mit dem Patch

[Voyager]

Würde mich ja nerven, wenn ich nicht mehr selbst über meinen Rechner bestimmen kann.

dann würde es zeit werden sich etwas intensiver mit den settings zu beschäftigen unter IDS kann man bereits gesperrte IPs wieder unlocken bzw. denen gleich eine security-richtlinie zuteilen.

[Gast_2cool_*]

@Bond7:
Nur damit ich es nicht falsch augefasst habe:
Die Meldung mit der 30 Min. Sperre ist von NIS?


Wenn bei mir IPs oder Domains geblockt werden, dann von mir selbst.
Wobei ich den Sinn einer solchen Sperre in diesem Fall (wmf-exploit) bezweifele.....

Der Beitrag wurde von 2cool bearbeitet: 03.01.2006, 15:36

[Voyager]

denke die sache einfach mal weiter, was willstn du auf einer mit gefährlicher malware gespickten webseite ? sicher wollen manche mit gewalt auf diese seiten aber für den durchschnittsuser ist es zum schutz besser ihm den zugang zu verwehren zumal wo einer ist können viele sein.
ausserdem ist es gerade für solche (JPEG-exploit , WMF-exploit u.a.) sachen besser der Virenschutz blockt das bis zu einer funktionierenden reparatur des herstellers (mikkisoft) erstmal ab um den user davor zu schützen.

[Gast_Jens1962_*]

Würde mich ja nerven, wenn ich nicht mehr selbst über meinen Rechner bestimmen kann.[right][snapback]125968[/snapback][/right]

Reine Einstellungssache.



Warum sollte ich wegen einer vermatschten Seite die Einstellungen ändern oder diese Domain/Seite auf die Ausschlußliste setzen?

Jens

[Domino]

Liebe Gemeinde,

in diesem Thread geht es um den Patch !

Wir haben auch ein Tagforum wenn euch langweilig ist.





Domino

[Homb]

Die HexBlog-Site scheint hoffnungslos überlastet zu sein. Den aktuellsten Patch 1.4 gibts auch hier: http://www.grc.com/sn/notes-020.htm.

[Gast_vorkoster_*]

Deinstallationsmöglichkeit wird über Systemsteuerung\Software unter Windows WMF ... Hotfix 1.4 angezeigt.
[right][snapback]125967[/snapback][/right]

Das ist richtig. Da ich aber den Patch automatisiert verteilen möchte, suche ich eine Möglichkeit, um ihn ggf. auf dem gleichen Weg wieder zu entfernen (d.h. ohne Interaktion des Benutzers).

[Gast_vorkoster_*]

Das ist richtig. Da ich aber den Patch automatisiert verteilen möchte, suche ich eine Möglichkeit, um ihn ggf. auf dem gleichen Weg wieder zu entfernen (d.h. ohne Interaktion des Benutzers).
[right][snapback]126092[/snapback][/right]

Jetzt habe ich die Lösung. In der Registrierung ist ein Uninstall-String zu finden, mit dem es geht:

"C:\Programme\WindowsMetafileFix\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES"

- natürlich erst, wenn eine brauchbare Sicherheitsaktualisierung von Microsoft vorliegt


"offizielles" Castlecops-Forum zum WMF-Patch

aktuelle Mirror-Seite zum Patch - mittlerweile auch mit MSI-Version des Patches

Der Beitrag wurde von vorkoster bearbeitet: 04.01.2006, 11:40