Gefährliche Sicherheitslücke in Windows gefunden

03.01.2006
WMF-Bilder können den PC infizieren.

Windows-Anwendern droht eine neue Gefahr: Über manipulierte Bilder im WMF-Format (Windows Metafile) können Spyware und Trojaner auf den PC eingeschleust werden, wie ein Zero-Day-Exploit zeigt. Dabei genügt schon der unbedachte Klick auf Internet-Seiten mit manipulierten WMF-Bildern, um den Rechner zu infizieren. Erste Seiten, die versuchen, dem Anwender auf diese Weise elektronische Schädlinge unterzujubeln, sind bereits aktiv. Zudem kursiert im Netz eine Google-Grußkarte von einer "Claudia", mit der User auf eine entsprechend präparierte Web-Seite gelockt werden sollen.

Die eigentliche Infektion erfolgt dabei über die Bild- und Faxanzeige von Windows, die beispielsweise der Internet Explorer automatisch öffnet, wenn er auf eine WMF-Datei stößt. Je nach Systemkonfiguration kann dies auch mit anderen Browsern und Anwendungen wie etwa dem Google Desktop geschehen. Die eigentliche Sicherheitslücke befindet sich nämlich in der Bibliothek "Shimgvw.dll", auf die etliche Anwendungen zugreifen.

Deshalb hilft auch Micro- softs Empfehlung, die entsprechende DLL mit dem Befehl "regsvr32 - u %windir%\system32\shimgvw.dll" zu deregistrieren, nur bedingt weiter. Nach dieser Aktion funktionieren alle Programme nicht mehr, die auf diese Datei zugreifen. Ansonsten zeigte sich Microsoft in dem hierzu veröffentlichten Security Advisory relativ ratlos und konnte lediglich zu den Standardmaßnahmen wie Firewall aktivieren und Virenscanner einschalten raten. Echte Hilfe aus Redmond - nämlich einen Patch zum Schließen der Lücke - , gibt es wohl erst am nächsten Patchday, dem 10. Januar.

Und selbst Microsofts Tipp, einen Virenscanner zu verwenden, schützt nicht zuverlässig vor der neuen Gefahr. Mittlerweile sind nämlich bereits Manipulationen des Exploit im Umlauf, die von den Scannern nicht unbedingt erkannt werden. (hi)