Sicherheitslücke in Bilddateien

[Rupert]

Alle User, die Windos verwenden, sollten sich aus Sicherheitsgründen mal die Seite bei heise Security durchlesen.
http://www.heise.de/security/dienste/browsercheck/demos/ie/wmf.shtml

und am besten folgenden Patch installieren.
http://www.hexblog.com/security/files/wmffix_hexblog14.exe

Hab den Patch zusätzlich hier nochmal angehängt.
Anhang anzeigen wmffix_hexblog14.zip

 

[sven@mainz]

Ja, es sind wohl schon einige Seiten damit aufgetaucht, ich habe es schon installiert und der Browsercheck sagt alles ok, die WMF-Datei dazu wird auch angezeigt.

 

[Christoph]

Das Thema geht nun durch diverse Gazetten.

Na, ich habe mir den Patch auch mal vorsichtshalber installiert, auch wenn er nicht von MS ist. :hehe:

Danke für den Hinweis, Rupert!

 

[Rupert]

Na, gut dass ich die Datei gleich mit angehängt habe.

Auf die offizielle Seite kommt man gar nicht mehr, da ist wohl der Server zusammen gebrochen.

Es geht halt nix über den neuen Server hier im Forum, der lässt sich wohl nicht mehr so schnell aus der Ruhe bringen.

 

[Novize]

Mein Antivir-Guard meldet (zumindest ab heute) beim Laden des Test-Bildes von heise eine Virus-Warnung

 

[tjhooker]

Microsoft wird wohl einen Patch liefern:
http://www.heise.de/security/news/meldung/67912

Und mit dem inoffiziellen Patch gibt es Probleme:
http://www.heise.de/security/news/meldung/67951

Da mein Antivirus auch die Testbilder erfolgreich abfängt, lasse ich erstmal die Finger von irgendwelchen Patches

 

[aerox-r]

Mein Antivir-Guard meldet (zumindest ab heute) beim Laden des Test-Bildes von heise eine Virus-Warnung

Ja, die haben schnell reagiert. Nach dem Update des Guards gestern Abend hat sich das Problem erledigt.

 

[tjhooker]

Ja, die haben schnell reagiert. Nach dem Update des Guards gestern Abend hat sich das Problem erledigt.

Na nur fast. Die Antivirus-Hersteller können nur bekannte WMF-Exploits abfangen. Bei neuen WMF-Exploits muss man auf neue Signaturen warten, da diese nicht erkannt werden, siehe da:
http://www.heise.de/security/news/meldung/67866

Der Tobi

 

[HKindler]

Da mein Antivirus auch die Testbilder erfolgreich abfängt, lasse ich erstmal die Finger von irgendwelchen Patches

Vorsicht! Unbekannter Schadcode kann trotzdem den Weg ins System finden! Ausserdem kann man den Patch leicht wieder deinstallieren falls Probleme auftauchen sollten.

 

[tjhooker]

Vorsicht! Unbekannter Schadcode kann trotzdem den Weg ins System finden! Ausserdem kann man den Patch leicht wieder deinstallieren falls Probleme auftauchen sollten.

Ja, steht doch in meinem vorherigen Posting ;-)

Ich denk jeder muss für sich abwägen:

Entweder:
Sich eine unbekannte Third-Party-Software zu installieren (die inzwischen in der vierten Version vorliegt, also was war falsch an den drei Versionen davor)?

Oder:
Antivirus aktuell, als eingeschränkter Benutzer surfen, nur bekannte Webseiten ansurfen, HTML in Email ausschalten, SpyBot S&D und RootKitRevealer installiert haben.

Ich habe mich für zweiteres entschieden, das schützt dann auch ein wenig gegen völlig unbekannte Schädlinge.

Der Tobi

 

[beckmann]

Antivirus aktuell, als eingeschränkter Benutzer surfen, nur bekannte Webseiten ansurfen, HTML in Email ausschalten, SpyBot S&D und RootKitRevealer installiert haben.

Das sollte man wenn man schon Windows nutzt sowieso immer machen wenn man im Internet unterwegs ist. Am besten ein eigenes Benutzerkonto für Internet Sachen wie Mail und Browser.

Die beste Lösung, man wechselt das Betriebsystem Es ist immer wieder lustig wenn ich als Linux Nutzer eine Mail mit VBA Code bekomme und mir dann in aller ruhe ansehen kann, was da so genau gemaht wird und wie einfach das teilweise ist, dass sich der Wurm Virus oder sonst was weiter verbreitet!

 

[Novize]

Aber auch der RootKitRevealer ist IMO Third-Party-Software als Closed-Source

 

[tjhooker]

Aber auch der RootKitRevealer ist IMO Third-Party-Software als Closed-Source

Och, mir geht es nicht um Open oder Closed source, sondern einfach um ein möglichst sicheres Surfen im Internet. Berufsmässig brauche und habe ich nun mal Windows und Microsoft Office, da hab ich nicht die Wahl.

Ich wollte nur nicht einen in wenigen Tagen selbstentwickelten Patch einspielen, mit dem schon Probleme bekannt geworden sind.

Der Tobi

 

[Rupert]

Ich wollte nur nicht einen in wenigen Tagen selbstentwickelten Patch einspielen, mit dem schon Probleme bekannt geworden sind.

Dann würde ich aber an deiner Stelle auch keinen Patch von Microsoft einspielen.

Die sind nämlich auch nur in wenigen Tagen selbst entwickelt und imho nicht vertrauenswürdiger oder besser.

Welche Probleme außer

dabei handelt es sich wahrscheinlich um schlampige Treiberprogrammierung beim betroffenen Samsung ML-1210

mit dem Netzwerkdrucker sind denn bekannt geworden?

Selbst wenn man nur bekannte Seiten aufruft ist nicht sicher gestellt, dass dort kein WMF-Exploit vorhanden ist (gehackter Server etc.)

die inzwischen in der vierten Version vorliegt, also was war falsch an den drei Versionen davor?

[Ironiemodus]
Wieviele Versionen musste M$ schon bereit stellen? War da etwas falsch an den x Versionen davor?
[/Ironiemodus]

 

[tjhooker]

unsubscribe

 

[Rupert]

Offizielle Patch-Seite wieder verfügbar

Die Seite von Ilfak Guilfanov ist nach dem Massenansturm wieder erreichbar:

http://www.hexblog.com/

Diesmal mit noch komfortableren Patch-Downloads inkl. MSI repackages, WMF vulnerability checker und MD5-Checksummen.

---

xFolgende Links wollten auch noch hier mit rein, ich konnte es nicht verhindern. :mrgreen:

Reaktionszeit eines "Fricklers"...

Faketicker: Trubel um inoffiziellen WMF-Patch

 

[sven@mainz]

Ich habe das WMF-Testbild mal in der Firma mitgenommen und auf unserem Abteilungsserver (den ich selbst administriere) meldet Virusscan auch schon den Fehler, also haben scheinbar die Hersteller der Antivirensoftware schon reagiert.

 

[HKindler]

Microsoft hat das Update scheinbar fertig:

http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx