wmf-lücke in windows

    Hi Leutz,

    da ich eMails generell in Thunderbird nur als Text anzeigen lasse und Anhänge nicht ungeprüft öffne, scheint mir diese Gefahr für mich persönlich relativ gering zu sein. Ausserdem stellte ich beim Empfang der WMF-Testmail des c't-Emailchecks (Link) fest, dass der Virencheck auf meinem T-Online-Account dort dieses Virus erkennt und "abtrennt".

    Im Browserbereich bin ich in doppelter Hinsicht geschützt. Zum einen müßte ich eine solche Datei explizit herunterladen (Demo: Sicherheitslücke in WMF (Link)), zum anderen springt beim Herunterladen sofort mein AntiVir® PersonalEdition Classic (Link) an. Insofern wähne ich mich nicht zuletzt durch den Einsatz von brain 3.1.05b ausreichend gesichert. Ansonsten kann man ja auch Verkehrsschilder aufstellen :wink:

    Stopschild aufstellen:

    Code
    regsvr32 -u %windir%\system32\shimgvw.dll


    Stopschild entfernen:

    Code
    regsvr32 %windir%\system32\shimgvw.dll

    Have fun,
    NightHawk

    Zitat von Amsterdammer


    *händeübernkopfzusammenschlag*
    da muss ich erst wieder actieveX zulassen
    nee, lieber doch nicht

    Hab's doch gemacht und zwischenzeitlich ActiveX wieder zugelassen, der Online Scanner ist sehr gründlich, entdeckt auch in quarantäne gesteckte Viren und prüft auch auf durch bösartige codes gerissenen offene Ports zum nachladen von Trojanern. Wer Mozilla-Mail-clients verwendet, wie z.B. Thunderbird, sollte vor einem online-scan sein profil sichern. der online-scanner schert sich nicht um Ausnahmeregeln deines virenscanners. Durch das mbox-Format in Mozillas mail-clients kann es so zum Verlust von ganzen mail-dateien kommen und nicht nur von infizierten mails.

    Gruss

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Bei mir wird die Heise-Demo nach dem Download von IrfanView geöffnet (aber "unbekanntes Bildformat"). Und selbst wenn Irfan sich nicht melden würde, wäre Gimp an der Reihe...

    Und der IE ist so sicher eingestellt, dass ich damit nichtmal Firefox runterladen könnte... :wink:

    Zitat von NightHawk56

    da ich eMails generell in Thunderbird nur als Text anzeigen lasse [...], scheint mir diese Gefahr für mich persönlich relativ gering zu sein.


    die gefahr ist überhaupt nicht vorhanden, selbst wenn du die html-ansicht aktiviert hast. ;) weil gecko ist ja nicht von der lücke betroffen


    übrigens, wer ACDsee (bildbetrachter) hat, sollte wmf damit verknüpfen. acdsee rendert die wmf-bilder nämlich selber (verwendet nicht die windows-dlls zum anzeigen wie etwa xn-view oder irfanview) und ist deshalb nicht betroffen - exploit funktioniert nicht.

    da kann man dann wmfs auch mit ruhigem gewissen automatisch öffnen lassen - man sollte sie nur nicht mit der miniaturansicht des explorers betrachten.

    Mhmm, schnell nochmal zur Nachtruhe...
    Sichwort Virusmeldung - AVGuard (AntiVir) wie auch immer:
    (bei AVPEx natürlich schon in brain "3.1.05b" enthalten) :wink: Zugriff verweigern

    @Heaven_69
    ich möchte es nur mal gesagt haben, aus NOD-Hilfe:

    Zitat

    Internetscanner

    Wenn der Virus durch den Internetscanner von IMON entdeckt wurde, gibt es nur zwei mögliche Aktionen:
    Beenden - beendet die Internetverbindung, so dass der Virus gestoppt wird, bevor er auf die Festplatte gespeichert werden kann und die Chance zur Ausführung erhält.
    Hier wird empfohlen, die Schaltfläche Beenden zu benutzen, um den Virus zu stoppen, bevor er gespeichert werden kann.


    im Normalfall weiss man bei Befund/Alarm nicht, worum es sich definitiv handelt ! also immer Zugriff verweigern !

    nun aber ins Bett... :roll:

    Hi kann mir mal bitte helfen ? Ich verstehe nämlich nur Bahnhof nutze Mozilla Firefox 1.5 hatte schon das ein oder andere mal die Message ob ich solche eine WMF datei ausführen will , natürlich nicht gemacht.

    Aber wenn ich jetzt ein Virus durch so eine WMF dingens irgtendwie bekommen habe dann sollte Kaspersky den beim scannen erkenne oder erkennt KAv diese Art von Viren nicht?


    Und wie können wir sicher sein das dieser inoffizielle Patch auch wirklich das ist wofür man ihn ausgibt und nicht anders herum arbeitet?

    mfg

    Zitat von Dualis

    Und wie können wir sicher sein das dieser inoffizielle Patch auch wirklich das ist wofür man ihn ausgibt und nicht anders herum arbeitet?

    Nun bekomm' mal nicht die Paranoia ;)
    Das ISC ist schon eine vertrauenswürdige Stelle. Meinst Du, Du kannst Dir sicher sein, daß Windows ausschließlich das tut, was Micro$oft Dir erzählt? :twisted:

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

    Zitat von Dualis

    Hi kann mir mal bitte helfen ? Ich verstehe nämlich nur Bahnhof nutze Mozilla Firefox 1.5 hatte schon das ein oder andere mal die Message ob ich solche eine WMF datei ausführen will , natürlich nicht gemacht.


    Ist auch besser so. Deshalb aber kann "uns Fx User" so schnell nix passieren eben weil wir den Download des Exploit noch bestätigen müßen und das macht ja wohl hoffentlich keiner.
    Im IE geht das automatisch ohne Bestätigung.

    Zitat von Dualis

    Aber wenn ich jetzt ein Virus durch so eine WMF dingens irgtendwie bekommen habe dann sollte Kaspersky den beim scannen erkenne oder erkennt KAv diese Art von Viren nicht?


    Wird derzeit erkannt von KAV. Aber da der Exploit sich dauernd verändert muß natürlich auch die Signatur dauernd angepasst werden. Bestimmt viel Arbeit für die Jungs.

    Zitat von Dualis

    Und wie können wir sicher sein das dieser inoffizielle Patch auch wirklich das ist wofür man ihn ausgibt und nicht anders herum arbeitet?


    Weil der [Blockierte Grafik: http://www.firefox-browser.de/forum/templates/subSilver/images/icon_mini_search.gif] ISC es sagt. Und denen sollte man glauben können.

    Dualis

    Kaspersky erkennt seit 31.12. die bösartigen dateien, die die schwachstelle ausnutzen.

    firefox 1.5 fragt nach, also wmf dateien (windows meta file) und emf (windows enhanced metafile) nicht öffnen. (nebenbei: nicht verwechseln mit wmv dateien = windows media video, das sind dateien, die üblicherweise im windows medai player öffnen)

    es gibt immer wieder bösartige meldungen, die behaupten, sie hätten einen patch und haben genau das gegenteil, einen bösartigen code.

    es gibt auch keinen absoluten schutz durch virenscanner, die laufen der entwicklung immer hinterher, weil sie nur bekannte viren erkennen, neue müssen erst verarbeitet werden.

    dieser seite kannst du vertrauen, wenn du einen patch haben willst, es ist die webseite des autors des patches, sie ist wieder online :D
    http://isc.sans.org/diary.php?storyid=1010

    die dortige installerversion lásst sich nämlich problemlos über die systemsteuerung wieder deinstallieren, bevor du den von windows angeboteten patch ab dem 10.01. einspielst

    gruss

    EDIT: 2 waren schon vor mir wach :lol:

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Wie krieg ich denn die Datei bei mir wieder raus? Habe keinen Eintrag in der Systemsteuerung/Software nach der Installation mit HitmanPro.

    Sitzt als *dll Datei im System32. Einfach löschen?

    Auch nach deinstallieren von HitmanPro sitzt sie noch da.

    Zitat von Heaven_69

    Wie krieg ich denn die Datei bei mir wieder raus? Habe keinen Eintrag in der Systemsteuerung/Software.

    Hast' wohl die *.msi Version genommen? Ich hatte mir wohlweislich (Mag keinen MSInstaller :x ) die *.exe Version gezogen. Die hat einen Eintrag unter Systemsteuerung/Software :P

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

    Danke.

    Kann ich die *exe den einfach drüberbügeln?

    Was passiert dann mit der bereits installierten *dll?

    Zitat von Heaven_69

    Kann ich die *exe den einfach drüberbügeln?

    Da fragst Du mich zuviel... keine Ahnung :-???

    [edit] Andererseits wird die betroffene DLL doch sowieso vom nächsten M$-Update geplättet :?

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

    Zitat von UliBär


    [edit] Andererseits wird die betroffene DLL doch sowieso vom nächsten M$-Update geplättet :?

    Das wußte ich eben nicht. Deshalb oben die Frage wie löschen. Aber dann müßte das wohl alles gehen.

    Werds berichten. (Wenn ich dann noch kann :P)

    also ich würde mir den kopf nicht zerbrechen, warum soll das deinstalliert werden?

    es schützt vor bösen codes, die möglichkeit, *.wmf-dateien anzuschauen, wird nicht beinträchtigt

    http://www.dnr.state.wi.us/org/caer/cea/p…t/clipart19.htm

    *.wmf-dateien auf festplatte speichern, öffnen mit wählen, anschauen

    :D

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Zitat von Amsterdammer

    also ich würde mir den kopf nicht zerbrechen, warum soll das deinstalliert werden?
    es schützt vor bösen codes, die móglichkeit, *wmf-dateien anzuschauen, wird nicht beinträchtigt

    Es soll nicht heute deinstalliert werden. Es geht mir lediglich darum wenn dann am Dienstag das Patch von MS kommt, das "Fremdpatch" vorher zu entfernen weil sonst vllt das MS Patch nicht funzt. Die Angst bestand. Was wenn das Teil von MS dann nicht geht?

    Hab gerade versucht die *exe von UliBär drüber zu installieren. Ich erhalte die Meldung das das Patch bereits installiert sei und eine Zweitinstallation nicht nötig sei.
    Naja hoffen wir das UliBär Recht hat und die *dll wird korrekt überschrieben am Dienstag.