heise Security stellt auf dem c't-Browser- und -Emailcheck Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im Windows Metafile Format (WMF), dessen Design noch aus den achtziger Jahren stammt, können Code enthalten, den das System in bestimmten Situationen ausführt – beispielsweise wenn das Rendern der Datei fehlschlägt. Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen Code via SETABORTPROC ausführen zu lassen.
Diese Lücke nutzen bereits tausende von Web-Sites und diverse Würmer aus, um Windows-Systeme mit Spyware und Hintertüren zu kompromittieren. Die Browsercheck-Demo hingegen ist völlig harmlos und startet über eine spezielle Web-Seite nur den Windows-Taschenrechner. Beim Internet Explorer geschieht dies automatisch, bei Firefox & Co muss der Anwender zuvor noch das Öffnen der Datei bestätigen. Beim c't-Emailcheck können Sie sich eine als JPG getarnte WMF-Datei zusenden lassen, die beim Öffnen ebenfalls den Windows-Taschenrechner startet. Vorsicht beim Abspeichern der Datei: Um den eingebetteten Code zu starten, genügt bereits die Verzeichnisansicht des Windows Explorers. Die Demo wurde unter Windows XP mit Service Pack 2 und allen Patches getestet.
Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov. Diesen Patch hat das Internet Storm Center einer intensiven Quellcode-Analyse unterzogen und bestätigt seine Wirksamkeit. Der provisorische Patch deaktiviert nur die Funktion zum Setzen spezieller Abbruch-Handler, die Anzeige von WMF-Dateien funktioniert weiterhin. Er lässt sich beim Erscheinen eines offiziellen Microsoft-Patches rückstandsfrei entfernen.
(ju/c't)
Quelle:heise.security.de
Link:http://www.heise.de/security/news/meldung/67884
Gr33ts
@Jacki:agl: