So beseitigen Sie die WMF-Lücke

Seit kurzem grassiert ein Exploit, das über manipulierte WMF-Dateien beliebige Software auf jedem Windows-System seit 3.0 ausführt. Wir haben Ihnen sämtliche Informationen dazu in diesem Artikel zusammengestellt und geben Tipps zur Abwehr.

Die Lücke selbst wurde am 27.12.2005 bekannt. Microsoft, F-Secure und das US-Cert lieferten am 28.12.2005 die ersten Security Advisories. Es stellte sich heraus, dass die Bibliothek SHIMGVW.dll fehlerhaft ist. Zusammen mit den besonderen Fähigkeiten der Windows Meta Files (WMF) können Angreifer problemlos beliebigen Code ausführen.

WMF-Dateien enthalten nicht nur Positionsangaben, sondern können auch unter dem Benutzerkonto „System“ spezielle Kommandos ausführen. Diese Kommandos unterliegen keinen Einschränkungen. Mit Hilfe der Escape-Funktion SETABORTPROC lässt sich beispielsweise ein Druckauftrag abbrechen. Hoch kritisch wird die Schwachstelle dadurch, dass verschiedene Windows-Komponenten wie der Bild- und Faxbetrachter oder der Internet Explorer diese Befehle automatisch ausführen. Dazu genügt es bereits, eine Vorschau der Bilder zu generieren.

Im folgenden Beitrag haben wir noch einmal alle bisherigen Informationen über die WMF-Lücke zusammengefasst. Zudem zeigen wir Schutzmaßnahmen auf, damit es erst gar nicht zu einer Infektion kommt.

Kostenloses IT-eBook diese Artikels: Die Abonnenten des kostenlosen Newsletters "tecCHANNEL Security Summary" können das PDF-eBook dieses Artikels kostenlos downloaden. Der entsprechende Download-Link wird in der Zeit von 05. Januar bis 12. Januar im Newsletter veröffentlicht. Den kostenlosen Newsletter können Sie hier abonnieren.