Ich hoffe, du meinst den Heise-Link
Schwachstelle im Microsoft Betriebssystem Windows
Grafikformat "Windows Metafile" (WMF)
Das BSI warnt vor einer Schwachstelle im Microsoft Betriebssystem Windows, die unter Verwendung des Grafikformats "Windows Metafile" (WMF) ausgenutzt werden kann.
HINTERGRUND
Windows Metafile (WMF) ist ein proprietäres Grafikformat. Es wurde entwickelt für den Austausch von Grafiken über verschiedene Programme hinweg. Dieses Grafikformat erlaubt es in den Metainformationen des Dokumentes ausführbaren Programmcode zu speichern und an Empfänger zu übermitteln. Werden Grafiken im WMF-Format abgespeichert, so tragen die Dateien die 3-buchstabige Dateierweiterung ".wmf".
In der WMF-Rendering-Engine gibt es eine Schwachstelle, die es einem entfernten Angreifer ermöglicht, beliebigen Code in WMF-Dateien mit Benutzerrechten auf betroffenen Systemen auszuführen.
Die Schwachstelle kann neben Windows Metafile (WMF) auch über Enhanced Metafile (EMF) Dateien ausgnutzt werden. Erfolgreiche Angriffe fanden bislang über E-Mail, hier insbesondere in Grusskarten zum neuen Jahr das Surfen im Internet und über gemeinsam genutzte Dateisysteme statt. Es reicht bereits die Vorschau einer schadhaften E-Mail oder einer schadhaften Datei im Windows Explorer aus, um den schadhaften Code auszuführen und nicht geschützte Systeme anzugreifen.
Häufig enthalten die infizierten WMF-Dateien keinerlei Bildinformationen sondern nur den schadhaften Programmcode. Weiterhin können auch umbenannte WMF-Dateien mit der anfälligen Komponente verarbeitet werden. So können Angreifer z. B. eine in ".JPG" umbenannte WMF-Datei für Angriffe einsetzen.
AUSWIRKUNG
Die Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes von entfernten Standorten. Der Angreifer muss hierfür sein Opfer dazu verleiten eine schadhafte Datei zu öffnen, z. B. durch eine geeignete gestaltete E-Mail oder Web Seite zu besuchen. Die Schwachstelle wird derzeit aktiv dazu verwendet, weitere Schadprogramme wie z. B. Trojanische Pferde nachzuladen.
Benutzer des Internet Explorer können durch den Besuch einer Web Seite automatisch von Schadprogrammen infiziert werden, die die Sicherheitslücke ausnutzen.
Benutzer des Firefox können infiziert werden, wenn sie sich auf Standard-Nachfrage des Browsers dazu entscheiden, dennoch die entsprechende WMF-Datei auszuführen.
BETROFFENE SYSTEME
Von der Schwachstelle betroffen sind laut Hersteller folgende Versionen:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)
Andere Windows Versionen sind möglicherweise ebenfalls von der Schwachstelle betroffen.
PATCHES
Bisher gibt es von Microsoft keine Patches zur Behebung der Schwachstelle. Die Betriebssysteme Windows 98 und Windows ME werden von Microsoft nicht mehr gewartet. Es ist nicht abzusehen, ob von dem Hersteller für diese Versionen überhaupt ein Patch zur Beseitigung der Sicherheitslücke entwickelt wird.
GEGENMASSNAHMEN
Microsoft empfiehlt als Workaround Massnahme "Windows Picture and Fax Viewer" (Shimgvw.dll) auf Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 und Windows Server 2003 Service Pack 1 zu de-registieren. Dies muss mit dem Kommando regsvr32 -u %windir%\system32\shimgvw.dll ausgeführt werden. Klicken Sie hierfür in der Windows-Taskleiste auf "Start" und dann auf "Ausführen". Geben Sie das Kommando in die nun erscheinende Befehlszeile ein und klicken auf "OK".
Diese Massnahme hat zur Folge, dass der "Windows Picture and Fax Viewer" nicht mehr ausgeführt wird, wenn eine Datei, die mit dieser Funktionalität verknüpft ist, von dem Benutzer geöffnet wird. Durch erneute Registrierung von Shimgvw.dll kann der Workaround rückgängig gemacht werden. Dazu muss das Kommando regsvr32 %windir%\system32\shimgvw.dll ausgeführt werden.
Da Angriffsszenarien möglich sind, bei denen Grafik-Dateien mit anderen Endungen zum Ausnutzen dieser Schwachstelle eingesetzt werden, ist eine sehr weitreichende Gegenmassnahme an E-Mail und Web Sicherheitsgateways alle Grafikdateitypen zu blocken. Diese Massnahme ist in Einzelfällen zu prüfen und zu entscheiden.
Im Firefox Browser wird in der Standardinstallation immer nachgefragt, ob "WMF"-Dateien geöffnet werden sollen. Sie können diese Einstellung unter "Einstellungen > Extras > Downloads" prüfen. Für die betroffenen Dateitypen (WMF und EMF) sollte keine automatische Anzeige konfiguriert sein. (Grafik 1)
Browser Firefox ohne automatische Anzeige für WMF und EMF Dateien.
Für den Internet Explorer gibt es keine entsprechenden Massnahmen.
Das BSI weist erneut auf die grundlegenden Sicherheitsmassnahmen hin.
Aktualisieren Sie Ihr Virenschutzprogramm regelmäßig, mindestens wöchentlich,
Installieren Sie Sicherheitspatches der Hersteller, sobald diese verfügbar sind
Öffnen Sie keine Dateianhänge aus E-Mails, die Ihnen verdächtig vorkommen.
WEITERE QUELLEN
Die Anfälligkeit des eigenen Systems kann durch einen Browsercheck- bzw. Emailcheck auf dem heise Security Portal geprüft werden.
http://www.heise.de/security/news/meldung/67884
