Die Firma Microsoft fordert die Anwender ihrer Windows-Betriebssysteme zu einem sofortigen Update auf, da entdeckt wurde, dass durch manipulierte Clipart-Bildchen die ferngesteuerte Übernahme der totalen Kontrolle über einen Windows-PC durch einen Angreifer möglich ist. Da der Fehler im Darstellungsmodul des Betriebsysstems verborgen ist, ist jedes Programm betroffen, das WMF- oder EMF-Dateien anzeigen kann.

Zitat aus dem vorgestern erschienenen Microsoft Security Bulletin MS05-053: "A remote code execution vulnerability exists in the rendering of Windows Metafile (WMF) image format that could allow remote code execution on an affected system. Any program that renders WMF images on the affected systems could be vulnerable to this attack. An attacker who successfully exploited this vulnerability could take complete control of an affected system." - "Customers should apply the update immediately."

Die MS-DOS-Versionen von Windows (95, 98 und me) sind nicht betroffen.

Falls jemand aus den "höheren Semestern" gerade glaubt, ein déjà vu zu haben: vor fünf Jahren habe ich schon einmal so einen ähnlichen Text verfasst: Clipart-Viren!

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

Das oben erwähnte Microsoft-Update hat's wohl auch nicht gebracht. Jetzt wurde beim Antivirussoftwarehersteller F-Secure publiziert, dass trotz der ganzen Bemühungen aus Redmond immer noch das Herunterladen von WMF-Dateien gefährlich ist, da diese Trojanische Pferde transportieren können.

http://www.f-secure.com/weblog/archives/archive-122005.html

Auch nicht-Microsoft-Internetexplorer-Anwender sind betroffen, da der Fehler nicht im Browser, sondern in Windows steckt. Es genügt unter Umständen, betroffene Dateien nur herunterzuladen; sie müssen nicht einmal explizit vom Anwender geöffnet oder angeschaut werden. Wenn beispielsweise die beliebte Google-Desktop-Suche auf einem Rechner installiert ist, so genügt es bereits, dass das Programm beim Betriebssystem im Hintergrund aus den gerade heruntergeladenen WMF-Dateien die zu indizierenden Metadaten abfragt, damit Windows den Schadcode ausführt und den Rechner verseucht. Nutzer von Google Desktop sollten in den Einstellungen unbedingt das Indizieren von "Mediendateien" abschalten.

Außer dem Verteilen eines Aufklebers mit dem zynischen Text "Trojaner müssen draußen bleiben" und einem Symbol, das eine Chimäre aus Hinweis- und Verbotszeichen mit dem Trojanischen Pferd darauf zeigt, gibt es von Microsoft noch keine erkennbaren Anstrengungen zur Lösung dieses Problems. Ich rate daher allen, wenistens ihre Virenscanner so aktuell wie nur möglich zu halten, da bereits zahlreiche verseuchte Dateien "in freier Wildbahn" entdeckt wurden.

Weitere Infos:
http://secunia.com/advisories/18255/
http://vil.mcafeesecurity.com/vil/content/v_137760.htm

Microsoft-Logik: Anstatt die Einwohner Trojas vor dem Trojanischen Pferd zu schützen, werden sie ausgesperrt. So hohl kann Marketing sein. Bildquelle: http://blog.h8u.de/index.php?/archives/330-Griechen-muessen-draussen-bleiben....

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python

Da der Microsoft-Tipp unter Windows 2000 völlig wirkungslos ist, hier ein Patch, der von dem freien Softwareentwickler Ilfak Guilfanov vorgestellt wurde. Damit ist es möglich, weiterhin alle Grafiken darzustellen. Die unselige Eigenschaft, in Grafiken geschmuggelten Programmcode auszuführen, verliert Windows damit jedoch.

Bis Microsoft mit einer Lösung an die Öffentlichkeit geht (offensichtlich ist dieses Verhalten bei der WMF-Verarbeitung dort ja erwünscht), ist es wohl eine gute Idee, die Seite von Guilfanov aufzusuchen und das Setup-Programm für den Patch auszuführen.

http://www.hexblog.com/2005/12/wmf_vuln.html

Für Besitzer noch älterer Windowsversionen (der Designfehler betrifft alle Windowsvarianten, die in den letzten 16 Jahren ausgeliefert wurden!) gibt es derzeit noch keine Lösung.

http://www.f-secure.com/weblog/archives/archive-012006.html#00000761

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Bücher:
CAD mit BricsCAD
Bauinformatik mit Python