Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   *.wmf exploit (https://www.trojaner-board.de/25087-wmf-exploit.html)

Domino 30.12.2005 12:37
*.wmf exploit
 
Derweil existiert ein 0-day-exploit für Windows.
Auch vollgepatchte xp SP2 Rechner sind betroffen.

Aus der Fülle der Informationen verlinke ich diesen recht verständlichen Artikel von heise. link

Anwender, vor allem die ohne AV-Programm, sollten eine automatische Aufforderung ihres Browsers zum speichern oder ausführen einer *.wmf,*.jpg,*.bmp etc. nicht nachkommen sondern den Vorgang abbrechen.

Einen Patch von Microsoft gibt es noch nicht.


Guten Rutsch. ;)



Domino

Cidre 30.12.2005 13:19
Hier wird der 'Würgaround' etwas genauer beschrieben:
Zitat:
Die Programmbibliothek "shimgvw.dll" gehört zur "Windows Bild- und Faxanzeige" und ermöglicht das Einschleusen von Code über speziell präparierte WMF-Dateien. Die DLL wird auch unter anderem vom Internet Explorer und älteren Firefox-Versionen (1.0.x) sowie von Opera 8.51 zur Anzeige von WMF-Dateien aufgerufen, Firefox und Opera fragen allerdings vorher nach.
Um die derzeit recht verbreiteten Exploits zu blockieren, können Sie die shimgvw.dll wie folgt deregistrieren:
1. Öffnen Sie eine Eingabeauffoderungen oder START -> Ausführen...
2. Geben Sie folgenden Befehl ein:
regsvr32 -u %windir%\system32\shimgvw.dll
3. Schließen Sie die Eingabe mit einem Klick auf [OK] oder mit der Eingabetaste ab.
4. Bestätigen Sie die darauf folgende Erfolgsmeldung mit [OK].
In der genannten Befehlszeile wird die Umgebungsvariable "%windir%" verwendet. Sie enthält das Windows-Verzeichnis (zum Beispiel C:\Windows), das auf diese Weise vom System automatisch in den Befehlsaufruf eingefügt wird. Der Nachteil der von Microsoft vorgeschlagenen Lösung ist, dass Sie nun die "Windows Bild- und Faxanzeige" nicht mehr zum Anzeigen von Bilddateien verwenden können. Bis zur Bereitstellung einer besseren Lösung ist dies jedoch eine wichtige Schutzmaßnahme.
Sie können die Funktionalität wieder herstellen, in dem Sie genau wie oben vorgehen, jedoch lautet die Befehlzeile dann:
regsvr32 %windir%\system32\shimgvw.dll

Quelle: http://www.pcwelt.de/news/sicherheit/128485/

Domino 30.12.2005 13:22
Mit diesem Registryhack:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\SystemFileAssociations\image
\ShellEx\ContextMenuHandlers
\ShellImagePreview

Then delete the default value. To re-enable the feature, go to the same key and set the default value as a REG_SZ to "{e84fda7c-1d6a-45f6-b725-cb260c236066}".

soll das auch funktionieren, sogar mit Kaspersky 4.5.

Das deregistrieren der .dll soll angeblich von neueren Varianten bereits umgangen werden.


Domino
edit: Rechtschreibung

Domino 30.12.2005 16:05
Kaspersky Patch bezüglich des .wmf exploit
 
Kaspersky stellt einen Patch für seine AV-Produkte zur Verfügung.


lesen & laden & installieren





Domino

GUA 30.12.2005 16:49
themen zusammengeführt :)

GUA

Schalke 02.01.2006 16:29
Was zum lesen.
http://www.rokop-security.de/index.php?showtopic=10306

DonQuijano 02.01.2006 18:15
http://www.heise.de/newsticker/meldung/67866


Einen Test gibt es auch.
http://www.heise.de/security/dienste...s/ie/wmf.shtml

http://img405.imageshack.us/img405/8788/schade3hw.jpg

:teufel3:

Domino 03.01.2006 13:12
Microsoft kündigt einen Patch an.

heise




Domino

Cidre 05.01.2006 22:33
Microsoft veröffentlicht WMF-Patch (KB912919)
 
Zitat:
Dennoch wartete die IT-Welt gespannt, ob der Redmonder Konzern nicht doch von seiner Patch Day-Politik ablässt und für diese Lücke ein Patch so schnell wie möglich und nicht erst am nächsten Patch-Day veröffentlicht. Heute Abend nun hat Microsoft ein Patch für besagte Lücke freigegeben.

Der Patch ist ab sofort im Microsoft Download Center verfügbar und kann unter folgenden Adressen für die entsprechenden Systeme bezogen werden:
Quelle: WinFuture

Domino 05.01.2006 22:38
Aber kein Patch für ME & W98

Sind die nicht betroffen oder gibt es keinen Patch ?

Weiß jemand genaues ?



Domino

Cidre 05.01.2006 22:50
@ Domino

Schau mal unter 'Executive Summary' bei Microsoft oder aber auch bei Heise:

Zitat:
Windows 98 (SE) und ME werden nicht mehr versorgt, obwohl die verwundbare Bibliothek auch dort vorhanden ist, da Microsoft für die Altlasten nur noch als kritisch erachtete Lücken fixt.
Diese Einstufung sei aber nicht erforderlich, da man dort kein kritisches Einfallstor gefunden habe. Ähnliches gilt für Nutzer von NT 4, für das Microsoft ebenfalls keinen Patch veröffentlicht.

Quelle: http://www.heise.de/newsticker/meldung/68033

Domino 05.01.2006 23:27
*hust*

Nicht kritisch ?
Der lädt alles nach was Rang und Namen hat.....

Dann ist es wohl Zeit auf xp "hochzurüsten". (Oder gleich Vista?)

:pfui:



Domino

GUA 05.01.2006 23:53
habe heute gelesen, dass der patch von ms erst am 10.01.06 kommt :pfui:
danke für den tip dass der schon verfügbar ist :)
habe "mich" gerade mal upgedatet :party:

GUA

Ocir33 09.03.2006 14:01
hallo kann mir hier jemand helfen ?
der patch von microsoft geht bei mir nicht .bekomme fehlermeldung :
incompatible sprache oder so . habe WIN XP Prof Deutsch!
Patch in engl + german alle ohne erfolg


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131