Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check
heise Security stellt auf dem c't-Browser- und -Emailcheck Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen.
heise Security stellt auf dem c't-Browser- und -Emailcheck Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im Windows Metafile Format (WMF), dessen Design noch aus den achtziger Jahren stammt, können Code enthalten, den das System in bestimmten Situationen ausführt – beispielsweise wenn das Rendern der Datei fehlschlägt. Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen Code via SETABORTPROC ausführen zu lassen.
Diese Lücke nutzen bereits tausende von Web-Sites und diverse Würmer aus, um Windows-Systeme mit Spyware und Hintertüren zu kompromittieren. Die Browsercheck-Demo hingegen ist völlig harmlos und startet über eine spezielle Web-Seite nur den Windows-Taschenrechner. Beim Internet Explorer geschieht dies automatisch, bei Firefox & Co muss der Anwender zuvor noch das Öffnen der Datei bestätigen. Beim c't-Emailcheck können Sie sich eine als JPG getarnte WMF-Datei zusenden lassen, die beim Öffnen ebenfalls den Windows-Taschenrechner startet. Vorsicht beim Abspeichern der Datei: Um den eingebetteten Code zu starten, genügt bereits die Verzeichnisansicht des Windows Explorers. Die Demo wurde unter Windows XP mit Service Pack 2 und allen Patches getestet.
Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov. Diesen Patch [1] hat das Internet Storm Center einer intensiven Quellcode-Analyse unterzogen und bestätigt [2] seine Wirksamkeit. Der provisorische Patch deaktiviert nur die Funktion zum Setzen spezieller Abbruch-Handler, die Anzeige von WMF-Dateien funktioniert weiterhin. Er lässt sich beim Erscheinen eines offiziellen Microsoft-Patches rückstandsfrei entfernen.
Siehe dazu auch: (ju [3])
- Neujahrsgrüße nutzen WMF-Lücken [4] auf heise Security
- WMF-Demo [5] des c't-Browserchecks
- WMF-Testmail [6] des c't-Emailchecks
URL dieses Artikels:
https://www.heise.de/-162129
Links in diesem Artikel:
[1] http://isc.sans.org/diary.php?storyid=999
[2] http://isc.sans.org/diary.php?storyid=996
[3] mailto:ju@ct.de
[4] https://www.heise.de/news/Neujahrsgruesse-nutzen-WMF-Luecken-Update-161991.html
[5] http://www.heise.de/security/dienste/browsercheck/demos/ie/wmf.shtml
[6] http://www.heise.de/security/dienste/emailcheck/demos/go.shtml?kategorie=virendummies
Copyright © 2006 Heise Medien