Drei kritische Updates für Windows
MS06-001: Ausführen beliebigen Codes über WMF
Bei der Verarbeitung von WMF-Dateien (Windows Meta File) weist erhebliche Schwachstellen im Design auf. Zwar wird das Dateiformat für Grafiken so gut wie gar nicht mehr verwendet, es ist jedoch immer noch in Windows enthalten. Der Internet Explorer zeigt diese Dateien sogar automatisch an.
Im Prinzip ist eine WMF-Datei nicht mehr als eine Folge von Deklarationen für den Aufruf von Windows-API-Funktionen. WMF-Dateien enthalten jedoch nicht nur Aufrufe von Zeichenroutinen, sondern sie können auch unter dem Benutzerkonto „System“ spezielle Kommandos ausführen. Diese Kommandos unterliegen keinen Einschränkungen. Mit Hilfe der Escape-Funktion SETABORTPROC lässt sich beispielsweise ein Druckauftrag abbrechen. Hoch kritisch wird die Schwachstelle dadurch, dass verschiedene Windows-Komponenten wie der Bild- und Faxbetrachter oder der Internet Explorer diese Befehle automatisch ausführen. Dazu genügt es bereits, eine Vorschau der Bilder zu generieren.
Diese Lücke lässt sich von entfernten Angreifern ausnutzen, um ein verwundbares System zu kompromittieren. Hervorgerufen wird dies durch einen Fehler bei der Behandlung von korrupten Windows-Metafile-Dateien („.wmf“). Gelingt es einem Angreifer, einen Benutzer auszutricksen und die präparierte Datei im „Windows Picture and Fax Viewer“ oder als Vorschau im Explorer ausführen zu lassen, kann dadurch beliebiger Code auf dem System ausgeführt werden. Es könnte sogar sein, dass diese Lücke automatisch genutzt wird, wenn ein Benutzer eine präparierte Webseite mit dem Internet Explorer besucht.
Auf Full-Disclosure sind allerdings inzwischen weitere Beispielbilder aufgetaucht, die auch ein gepatchtes System zumindest zum Absturz bringen. Dementsprechend empfiehlt es sich, die entsprechende DLL komplett zu deaktivieren:
regsvr32 -u %windir%\system32\shimgvw.dll
|
Datum |
05.01.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Alle Windows-Versionen |
|
Auswirkung |
Ausführung beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |