Microsoft gibt Empfehlungen zu VML-Schwachstelle
Nachdem auf dem Schwarzmarkt ein funktionsfähiger VML-Exploit-Baukasten nun offenbar gegen Bares erhältlich ist, haben die Redmonder ein eigenes Advisory zu der Lücke veröffentlicht.
- Christiane Rütten
Microsoft hat ein Advisory zur jüngst veröffentlichten VML-Lücke im Internet Explorer herausgegeben. Darin bestätigt der Softwarekonzern die bisherigen Meldungen, dass Angreifer über manipulierte Vektorgrafiken in Webseiten und E-Mails beliebigen Schadcode einschleusen und unter Umständen die volle Kontrolle über anfällige Systeme übernehmen können. Insbesondere warnen die Redmonder vor der Möglichkeit, dass die Schadprogramme auch über präparierte Werbebanner auf die PCs gelangen könnten. Außerdem könnten Webseiten, auf denen Besucher eigene Bilddateien einstellen können, als Übertragungsvektor für manipulierte VML-Dateien dienen.
Unterdessen melden die Avert Labs des Antiviren-Herstellers McAfee, dass das Cracker-Toolkit WebAttacker um einen VML-Exploit erweitert worden sei. Mit WebAttacker lassen sich im Handumdrehen manipulierte Webseiten erstellen, die Besuchern mit verwundbaren Browsern Schadsoftware unterschieben. Das Toolkit sei auf dem Schwarzmarkt für rund 15 Euro erhältlich. Es ist daher damit zu rechnen, dass sich in den kommenden Tagen die Zahl der Webseiten mit eingebetteten VML-Exploits stark erhöhen wird.
Microsoft gibt als möglichen Workaround an, die verwundbare Bibliothek vgx.dll zu deaktivieren. Dazu müssen Anwender "Start" und "Ausführen" anklicken und den Befehl
regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
eingeben. Nach der Bestätigung und einem anschließenden Rechnerneustart ist das System nicht mehr verwundbar. Als Nebenwirkung der Deregistrierung von vgx.dll kann der PC keine VML-Dateien mehr anzeigen, was sich praktisch aber kaum bemerkbar machen dürfte. Nach dem Einspielen eines Patches, den Microsoft möglicherweise am kommenden Oktober-Patchday veröffentlicht, lässt sich die Bibliothek mit obigem Befehl ohne die Option "-u" auch wieder aktivieren.
Laut einem Test des Internet Storm Center ist Microsofts OneCare Live derzeit als einziges AV-Produkt in der Lage, VML-Schadcode zu erkennen. Die zugehörige Lücke ist allerdings nur eine von zurzeit vier unbehobenen Schwachstellen in Microsoft-Produkten, die das Einschleusen von beliebigem Schadcode ermöglichen: Für PowerPoint, Word und daxctle.ocx im IE stehen Patches ebenfalls noch aus.
Siehe dazu auch: (cr)
- Vulnerability in Vector Markup Language Could Allow Remote Code Execution, Advisory von Microsoft
- Weitere unbekannte Lücke im Internet Explorer wird bereits ausgenutzt auf heise Security
