wmf-lücke in windows

    Steht alles in der verlinkten Meldung:

    Zitat

    Als Workaround empfehlen einige CERTs, an den Gateways alle Grafiktypen zu blocken. Das alleinige Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.

    Bis Microsoft einen Patch bereitstellt, sollten Anwender und Administratoren auf PCs mit Windows XP und Server 2003 den Windows Picture and Fax Viewer (Shimgvw.dll) mit dem Kommandozeilenbefehl

    regsvr32 -u %windir%\system32\shimgvw.dll

    deaktivieren. Dies lässt sich nach dem Erscheinen und Einspielen eine Patches wieder rückgängig machen.

    WMF sind keine Bilder, die werden weder vom Firefox noch vom IE angezeigt. Nur der IE ist halt mal wieder so doof und lädt die Teile automatisch herunter und öffnet sie mit der Faxanzeige. Firefox zeigt erstmal brav den Downloaddialog an. Aber wer da auf OK klickt, dem ist auch nimmer zu helfen.

    Andreas Marx von AV-Test hat einen Kurztest mit 73 verschiedenen Exemplaren durchgeführt, die bereits im Internet verbreitet sind.
    Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und könnten somit eine Infektion verhindern.
    eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp über 80 Prozent identifiziert.
    Mit weniger als 20 erkannten Exemplaren ist die Erkennungsleistung von Command, F-Prot, Ewido, eSafe, Ikarus und VBA32 derzeit noch mangelhaft.
    Normans Viren-Scanner versagte in diesem Test völlig und monierte keine einzige Datei.

    http://www.heise.de/newsticker/meldung/67848

    Hitman Pro fixt WMF-Lücke!

    An anderer Stelle habe ich schon auf diese hervorragende Ergänzung zu AV-Programmen hingewiesen:
    http://www.firefox-browser.de/forum/viewtopi…p=109533#109533

    Die gestern freigegeben Version 2.3.3 fixt das Loch mit diesem Patch

    Zitat von Heise

    Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov.

    http://www.heise.de/newsticker/meldung/67884

    und schützt somit auch gegen die Infektion des PC durch Verbreitung via MSN Messenger.

    http://www.hitmanpro.de

    Gruss :wink:

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Hi Amsterdammer,

    hab das Tool (Hitman Pro) installiert, gescannt und alles lief bestens. So bekomme ich zum Schluß auch die Meldung das ich nun auch gegen das WMF-Exploit gesichert sei. Wunderbar! Ich vertraue da mal auf das StormCenter die das ja getestet haben.

    Sollte nun ein Patch von MS erscheinen, kann ich das Prog anschließend wieder rückstandslos deinstallieren und alle schon vorher installierten Proggis wie Spybot Search&Destroy und AdAware wieder wie vorher nutzen? Oder gibt es da Probleme.

    Schon Mal Danke für den/die Tips. :D

    Heaven

    warum willst du das programm deinstallieren und nur mit teilen, die in diesem programm installiert sind, weiterarbeiten. in den optionen/konfiguration kannst du selbst einstellen, mit welchen subprogrammen (hitman pro ist eigentlich nur ein script, das andere programme hintereinander ansteuert) du arbeiten willst, und wenn du nur mit spybot und adaware arbeiten willst, geht das auch ;)

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Zitat von Amsterdammer

    warum willst du das programm deinstallieren und nur mit teilen, die in diesem programm installiert sind, weiterarbeiten. in den optionen/konfiguration kannst du selbst einstellen, mit welchen subprogrammen (hitman pro ist eigentlich nur ein script, das andere programme hintereinander ansteuert) du arbeiten willst, und wenn du nur mit spybot und adaware arbeiten willst, geht das auch ;)

    Naja, ich möchte einerseits schon selber entscheiden wann ich was update. Ist vielleicht sogar möglich bei dem Programm, ist noch zu frisch und ich hatte noch nicht die Zeit alles durch zu sehen. Wenns auch nicht so viel ist. :P Ich wollte nur den WMF Patch haben.

    Ne, ich meinte eher was bei heise stand:

    Zitat

    Der provisorische Patch deaktiviert nur die Funktion zum Setzen spezieller Abbruch-Handler, die Anzeige von WMF-Dateien funktioniert weiterhin. Er lässt sich beim Erscheinen eines offiziellen Microsoft-Patches rückstandsfrei entfernen.

    Muß der Patch denn vor einer Installation des angekündigten MS Patches wieder entfernt werden? Und wenn ja wie krieg ich den denn da wieder raus? Das meinte ich eher.

    Keine ahnung, heaven, alles zu neu, warten wir mal ab bis der offizielle patch von MS kommt, hauptsache das system ist erstmal geschützt.

    aber die neue version von hitman pro hat einen kleinen bug:
    dieses program wird von subprogram "hitmanpro anti spyware" versehentlich als spyware erkannt und vom system entfernt
    http://www.superspamkiller.de/
    junge, junge, was ein fehler :roll: , habe den autor informiert

    für alle mit den gleichen problemen: unter "quarantäne"in dem programm und dem wahlfenster kann man ein zip-bestand unter dem datum des scans öffnen und die entfernten komponenten wieder zurücksetzten, ohne neu installieren zu müssen.

    gruss

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    microsoft gibt an,
    http://www.microsoft.com/technet/securi…ory/912840.mspx
    dass wegen dieser lücke bereits infektierte systeme mit einem scan via
    http://safety.live.com/site/en-US/default.htm
    gereinigt werden.

    frecherweise geht dies nicht via Firefox :evil:

    werd es trotzdem mal testen im IE :roll:

    EDIT
    *händeübernkopfzusammenschlag*
    da muss ich erst wieder actieveX zulassen

    nee, lieber doch nicht

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    @ Amsterdammer,

    danke das Du den Autor benachrichtigt hast. Ist ja echt ein Ding. Hoffentlich beseitigt der den Bug schnell.

    Code
    Und der IE bliebe mir auch im Keller.

    Jetzt hab ich allerdings gerade den Test von heise gemacht zur Erkennung des WMF-Exploits.
    Und NOD32 gibt mir eine Alarmmeldung über einen abgefangenen Trojan heraus. Dürfte doch eigentlich garnix kommen nach der Installation von Hitman Pro? Der Patch blockt doch das Teil.

    ich weiss nicht, inwieweit der "Ilfak"-patch (in hitmanpro verarbeitet) infizierte systeme reinigt, ich glaube nicht, er schützt wohl nur vor zukünftiger infektion.

    deine trojanermeldung kann ich nicht beurteilen, kann auch etwas völlig anderes sein....

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Einmal editiert, zuletzt von Amsterdammer (3. Januar 2006 um 16:45)

    Ne ist schon alles ok.

    Er meldet mir eine mögliche Variante von Win32/Exploit.WMF Trojaner als "verschoben in Quarantäne" was in dem Fall seine Richtigkeit hat.

    Schönen Abend noch in Amsterdam.

    Heaven