Microsoft beeilt sich mit Patch

10.01.2006
Die Gefahr durch manipulierte Bilder im WMF-Format in Windows war nach Einschätzung der Microsoft-Verantwortlichen offenbar kritisch.

Nachdem in den letzten Tagen des vergangenen Jahres eine Sicherheitslücke im Windows-Metafile-System (WMF) für allgemeine Verunsicherung innerhalb der weltweiten Windows-Nutzergemeinde gesorgt hatte, kündigten die Microsoft-Verantwortlichen am 3. Januar ein Update an, das die Lücke schließen sollte. Nachdem der Patch ursprünglich erst am 10. Januar im Rahmen des herkömmlichen monatlichen Security-Bulletins herauskommen sollte, entschloss sich das Management auf Druck der Anwender, das Update bereits am 6. Januar auszuliefern.

Windows absichern

Microsoft empfiehlt als Erstmaßnahme, den "Windows Picture and Fax Viewer" (Shimgvw. dll) zu deregistrieren. Dies funktioniert mit dem Kommando regsvr32 -u %windir%\system32\shimgvw.dll. Dann lassen sich allerdings auch andere mit dem Viewer verknüpfte Grafikdateien nicht mehr betrachten. Mit dem Kommando regsvr32 %windir%\system32\shimgvw.dll lässt sich der Viewer neu registrieren. Seit Anfang des Jahres kursiert im Netz ein inoffizieller Patch des Entwicklers Ilfak Guilfanov. Zwar warnte Microsoft davor, Patches von Drittanbietern einzuspielen, da deren korrekte Funktion nicht gewährleistet werden könne. Sicherheitsexperten zufolge funktioniert die Lösung von Guilfanov aber. Der Patch lässt die Anzeige von WMF-Dateien zu, blockt jedoch den Schadcode. Bevor Anwender das offizielle Microsoft-Update einspielen, muss aber der inoffizielle Patch jedoch entfernt werden.

Mehr zum Thema

www.computerwoche.de/go/

570609: WMF-Patch verfügbar;

570491: Exploits für Windows’ Metafile-Leck;

570454: Reaktionen von Microsoft auf Metafile-Leck;

570438: Kritischer Windows-Fehler entdeckt.

Microsoft beugt sich Kunden

Das vorgezogene Update erfolge auf vielfachen Kundenwunsch, hieß es in einer offiziellen Stellungnahme des Softwareherstellers. Zudem sei es gelungen, die notwendigen Tests hinsichtlich Qualität und Kompatibilität des Updates früher als erwartet abzuschließen. Den Patch "MS06-001" können Anwender unter folgender Adresse herunterladen: www.microsoft.com/technet/security/bulletin/ms06-001.mspx. Das Update schließt die Lücke in Windows-2000-, Windows-XP- und Windows-Server-2003-Systemen. Patches für die ebenfalls betroffenen Windows-Varianten 98 und ME gibt es nicht. Die Schwachstelle werde dort nicht als kritisch eingestuft, begründet der Konzern diese Maßnahme.

Die WMF-Lücke hatte während der vergangenen beiden Wochen für weltweite Unruhe gesorgt. Das proprietäre Format WMF dient dazu, Grafiken über verschiedene Programme hinweg austauschen zu können. Allerdings erlaubt es das Format, in den Metainformationen der Dateien ausführbaren Code zu speichern und zusammen mit der Grafik zu übermitteln. Über eine Schwachstelle in der Graphics Rendering Engine von Windows können Angreifer den in WMF-Dateien hinterlegten Schadcode auf fremden Systemen ausführen.

Dabei genügt es, dass Nutzer eine infizierte E-Mail aufrufen beziehungsweise eine mit WMF-Dateien durchsetzte Internet-Seite ansteuern, um ihre Systeme zu infizieren. Der Microsoft-Browser "Internet Explorer" führt WMF-Dateien automatisch aus. Alternative Browser wie "Firefox" fragen dagegen erst nach, bevor sie den entsprechenden Code aktivieren.

Die Microsoft-Verantwortlichen versuchten, die Bedeutung des Sicherheitsproblems herunterzuspielen. "Unsere Beobachtungen zeigen, dass die Angriffe auf die Sicherheitslücke sehr begrenzt sind", hieß es in einer offiziellen Mitteilung. Zudem würden aktuelle Virenscanner die bösartigen Signaturen bereits erkennen und schädliche Web-Seiten auf Betreiben Microsofts geschlossen.

Die Lücke werde vorsätzlich dazu benutzt, Schadsoftware zu verbreiten, warnten dagegen die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Mittlerweile seien über 200 bösartige WMF-Dateien bekannt. Täglich kämen neue hinzu. Gerade zu Neujahr kursierten Grußkarten im Netz, mit denen Anwender auf entsprechend präparierte Websites gelockt werden sollten. Vielfach werde die Schwachstelle laut BSI dazu verwendet, weitere Schadprogramme wie beispielsweise Trojaner auf die betroffenen Rechner nachzuladen. Sicherheitsexperten hätten unter anderem bereits Angriffe auf Zugangsdaten zum Online-Banking registriert. Die BSI-Verantwortlichen forderten deshalb alle Internet-Nutzer auf, beim Surfen Vorsicht walten zu lassen und ihre Rechner mit Updates auf den neuesten Stand zu bringen. (ba)