Home  >  Praxis & Hilfe  >  Kummerkasten  >  Sicherheit  > Artikel 32111

spacer

Wie schütze ich mich vor der WMF-Lücke? (Zweites Update)

Mit grosser Besorgnis habe ich im Internet gelesen, dass eine neue Sicherheitslücke betreffend WMF-Dateien entdeckt wurde, für die Microsoft noch kein Update hat. Wie schütze ich mich nun dagegen?
blue_quad von Gaby Salvisberg (04.01.2006, Update: 06.01.2006)
Tatsächlich wurde kurz vor Jahresende (29.12.2005) eine solche schwerwiegende Sicherheitslücke entdeckt [1]. Die Lücke steckt in einer Windows-Komponente, die fürs Anzeigen von WMF-Bildern zuständig ist. Dabei kann nur schon durchs Betrachten eines WMF-Bildes (Windows MetaFile) schädlicher Programmcode ausgeführt werden. Im Labor der Antiviren-Experten von F-Secure fand man sogar heraus [2], dass je nach installierter Software nicht nur das Öffnen, sondern auch das ansonsten harmlose Speichern einer schädlichen Datei den PC infizieren kann: Auf einem der F-Secure Test-PCs lief Google Desktop. Als man eine der schädlichen WMF-Dateien auf jenem PC speicherte, hat der im Hintergrund aktive Google Desktop die Datei sofort zu indexieren versucht, wobei der schädliche Code auch gleich ausgeführt wurde.
Die Lücke gilt als gravierend, weil gleich mehrere Umstände zusammenspielen: Zum einen ist quasi jeder Windows-PC verwundbar, da die anfällige Komponente nicht nur von Windows selber, sondern auch von weiteren Anwendungsprogrammen verwendet wird (z.B. von Google Desktop Search, IrfanView uvm.). Der zweite unglückliche Umstand ist der, dass Microsoft im Moment (02.01.2006) noch keinen Patch veröffentlicht hat, um das Leck zu schliessen. Dieser Situation setzt das dritte Problem die Krone auf: Es wurden bereits einige Dutzend Trojaner und Würmer entdeckt, welche diese Sicherheitslücke ausnutzen.
Die Virenscanner können zwar nach einem Update einzelne schädliche Dateien entdecken, sind aber im Moment auch noch nicht imstande, solche Dateien schon aufgrund des Exploits (d.h. an der Ausnutzung der Lücke) zu erkennen.
Wer Windows 2000 oder Windows XP hat, sollte der Reihe nach folgendes tun: Melden Sie sich an Ihrem PC mit Administrator-Rechten an. Um die anfällige Komponente in der Registry zu deaktivieren, gehen Sie zu Start/Ausführen und tippen Sie folgendes ein:
regsvr32 -u %windir%\system32\shimgvw.dll
Bestätigen Sie das mit Enter. Dies macht den PC zumindest etwas weniger anfällig. Während Microsoft selbst den Fall noch untersucht, hat sich ein anderer findiger Programmierer der Sache angenommen, um das Problem für Windows 2000 und XP weitgehend zu beheben. Die Installation dieses Fremd-Patches wird übrigens auch von F-Secure und dem Internet Storm Center empfohlen. Laden Sie also den WMFfix-Hexblog-Patch [3] herunter. Installieren Sie ihn und starten Sie den PC neu. Nun können Sie mit einem zweiten Tool (dem WMF Vulnerability Checker [4]) überprüfen, ob die Lücke erfolgreich gestopft wurde.
Sobald Microsoft selber ein "richtiges" Update hat, sollten Sie vor dessen Installation den WMFfix-Hexblog-Patch via Systemsteuerung/Software deinstallieren. Sie sollten auch das "Entregistrieren" der Datei shimgvw.dll rückgängig machen. Hierfür verwenden Sie den gleichen Befehl wie oben, lassen aber das -u weg:
regsvr32 %windir%\system32\shimgvw.dll
Für Windows 98 und Me sieht die Sache leider etwas schlechter aus. Der inoffielle Hotfix von Hexblog läuft nicht unter diesen Windows-Versionen. Deshalb ein paar Tipps, um die Ansteckungsgefahr etwas zu mildern:
- Schalten Sie in Ihrem Mailprogramm die automatische Anzeige von Bildern aus.
- Öffnen Sie keine Bilder, die Sie per Mail erhalten.
- Stellen Sie Ihr Mailprogramm so ein, dass es auch HTML-Mails nur als Text anzeigt
- Verzichten Sie auf den Besuch unbekannter Webseiten, bis Microsoft eine Lösung bereitgestellt hat.
- Falls Sie Software haben, die im Hintergrund den Inhalt Ihrer Festplatte indexiert (z.B. Google Desktop, Picasa oder andere), dann suchen Sie in diesen Programmen nach einer Möglichkeit, den Indexvorgang abzuschalten.
Einige Virenscanner haben bisher WMF-Dateien nicht als potentiell schädlichen Dateityp betrachtet. Deshalb werden solche Dateien von den im Hintergrund aktiven Virenwächtern auch nicht standardmässig gescannt. Dies werden wohl die meisten Hersteller von Antivirensoftware nun ändern. Schauen Sie sich deshalb unbedingt in nächster Zeit häufiger auf der Webseite Ihres Antivirenherstellers nach einem Update für Ihren Virenscanner um. So hat z.B. Kaspersky [5] schon einen Patch bereitgestellt, der das Echtzeit-Scanning für WMF-Dateien einschaltet.
Update vom 4. Januar 2006:
Zeitweise ist die Hexblog-Seite wegen Überlastung nicht mehr erreichbar. Der Entwickler Ilfak Guilfanov hat deshalb eine alternative Seite aufgeschaltet, die zu diversen anderen Download-Quellen für den Patch verlinkt [6]. Microsoft hat zudem angekündigt, am 10. Januar ein Update zu veröffentlichen, welches das gravierende Leck stopft.
WICHTIG: Update vom 6. Januar 2006:
Windows 98/Me: Lange war unklar, inwieweit diese Windows-Versionen verwundbar sind. Microsoft schreibt, dass die anfällige Systemkomponente auch in diesen Windows-Versionen vorhanden ist. Nur sei bisher kein Szenario bekannt, unter welchem diese Sicherheitslücke in diesen älteren Windows-Versionen missbraucht werden könne. Deshalb, und weil Windows 98 und ME im Prinzip ihre Support-Spanne schon überschritten haben, biete man seitens Microsoft keinen Patch an. In diese Bresche springt der Antivirus-Hersteller Eset/Nod32. Als Benutzer von Windows 98 oder Me sollten Sie den dort bereitgestellten [7] Flicken installieren.
Windows 2000 und XP: Microsoft hat nun schon einige Tage vor dem offiziellen Januar-Patch-Day das sehnlichst erwartete Sicherheitsupdate veröffentlicht. Es wird beim Windows-Update automatisch zur Installation vorgeschlagen. Wer Firefox benutzt, kann das Update auch manuell von dieser Microsoft-Seite [8] herunterladen. Klicken Sie dort auf den für Ihre Windows-Version passenden Link "Download the update" und wählen Sie die Sprache ("Deutsch" bzw. "German") aus. Anschliessend den Patch per Doppelklick installieren.
Falls Sie in Ihrem Windows 2000 oder XP zusätzlich die Datei "shimgvw.dll" mit dem weiter oben erwähnten Befehl aus der Windows-Registrierung entfernt haben, dann können Sie diese Datei nun wieder registrieren. Tippen Sie im "Start/Ausführen"-Feld folgendes ein:
regsvr32 %windir%\system32\shimgvw.dll
Vielleicht haben Sie vor dem Erscheinen des offiziellen Microsoft-Updates auch den Patch von Hexablog installiert. Diesen können Sie nun via "Systemsteuerung/Software" deinstallieren. Wobei dies laut den Antiviren-Experten von F-Secure nicht zwingend notwendig sei.

Anzeige
Drucken Drucken
ricoh
spacer
WeiterempfehlenWeiterempfehlen
spacer
Kommmentar Kommentieren       
spacer


Anzeige
Social Bookmarks
Favoriten Twitter Facebook WordPress Blogger
Wählen Sie:

spacer

Windows 2000 Windows 2000
Windows XP Windows XP
Windows Vista Windows Vista
Linux Linux
Mac Mac
Sicherheit Sicherheit
Internet Internet
Office Office
Multimedia Multimedia
Spiele Spiele
Hardware Hardware
Windows9x/NT Windows9x/NT
Windows 7 Windows 7
Sonstiges Sonstiges

spacer

Ähnliche Themen
Spybot findet immer DSO Exploit

Spybot meldet bei jeder Prüfung das Problem «DSO Exploit Art: 5 Entries». Obwohl ich dieses Problem jedes Mal blockiere, wird immer wieder... Spybot findet immer DSO Exploit

Ist JS.Exception.Exploit jetzt verschwunden?

Mein PC (Win95) hat sich gemäss Norton Antivirus das Trojanische Pferd JS.Exception.Exploit eingefangen. Betroffen war eine Datei im Ordner «Temporary... Ist JS.Exception.Exploit jetzt verschwunden?

Mehr Praxis & Hilfe
Fachchinesisch

Mühe mit Computerbegriffen?

Im Fachchinesen finden Sie 743 Erklärungen.

KUMMERKASTEN
Internet
Thunderbird: Signatur umschalten Thunderbird: Signatur umschalten
Multimedia
Musikstück (*.wma) langsamer abspielen Musikstück (*.wma) langsamer abspielen
Office
Excel: leere Zellen mit obigem Inhalt ausfüllen Excel: leere Zellen mit obigem Inhalt ausfüllen
Windows XP
Firefox- und Thunderbird-Profile übernehmen Firefox- und Thunderbird-Profile übernehmen
Internet
Firefox: Eingabefeld-Vorschläge abschalten Firefox: Eingabefeld-Vorschläge abschalten
Mehr Tipps & Tricks
Leser empfehlen
Frustfreier Download bei www.pctipp.ch

Problem: Wenn ich aus den PCtipp-Downloads ein File herunterladen will, erscheint die Aufforderung, ein PCtipp-Abo zu lösen. Ich kaufe den PCtipp aber... Frustfreier Download bei www.pctipp.ch

ASCII-Tabelle für Sonderzeichen

Ich arbeite häufig mit der Sonderzeichentabelle in Word. Mir ist es aber zu umständlich, ständig die Tabelle zu öffnen, um das Zeichen in den Text einzufügen.... ASCII-Tabelle für Sonderzeichen

Dropdown-Liste in Excel erstellen

Ich möchte in den einzelnen Feldern der Tabelle eine Dropdown-Liste zur Auswahl der Kriterien einfügen. Wie geht das? Dropdown-Liste in Excel erstellen

Vista/7 Sidebar: MeteoRadar Gadget

Problem: Auf meinem Vista Computer habe ich die Minianwendung «MeteoRadarAni» (Regenradar Schweiz) in der Sidebar. Im neuen Notebook unter Windows 7 konnte... Vista/7 Sidebar: MeteoRadar Gadget

Avira AntiVir Personal macht keine Updates

Problem: Ich habe Avira AntiVir Personal Free Version 10 installiert. Aber seit Kurzem funktioniert das Update nicht mehr. Im Report erscheint dann die... Avira AntiVir Personal macht keine Updates

Mehr Tipps & Tricks
PCTIPP ABONNIEREN
Holen Sie sich monatlich die besten Tipps und Tricks für den PC-Alltag nach Hause.
1-Jahres-Abo 49.-
2-Jahres-Abo 86.-
Geschenkabo
NEWSLETTER
Wir halten Sie auf dem Laufenden: Der Newsletter liefert Ihnen jeden Werktag das Aktuellste aus der Welt von Computer und Internet.

Anmelden
RSS-FEEDS
Die PCtipp-Website bietet RSS-Feeds an. Holen Sie sich die Schlagzeilen von PCtipp.ch schnell und bequem auf den Desktop oder bauen Sie diese in Ihre eigene Webseite ein.
zu den Feeds
Anzeige