Die WMF-Sicherheitslücke und deren
Auswirkungen sorgen weiterhin für einen hohen Beschäftigungsgrad
bei Anwendern und Sicherheitsspezialisten. Tausende Web-Sites nutzen
offenbar die Schwachstelle, um Ad- und Spyware zu verbreiten.
Derzeit ist die Ursache der Lücke noch nicht restlos geklärt. Der
Sicherheitsdienstleister Secunia beschreibt spezielle
WMF-Eigenschaften, die der Exploit missbrauchen kann. WMF-Bilder
bestehen nicht nur aus reinen Vektor- und Rasterdaten, sondern aus
einer Serie von Befehlen an das Graphics Device Interface (GDI).
Diese Befehle unterliegen dabei keinen Einschränkungen.
Unglücklicherweise verarbeitet die GDI aber auch Befehle (Escape-Funktionen)
zur Interaktion von Bildern mit Systemressourcen. Beispielsweise
stoppt die Escape-Funktion SETABORTPROC etwa einen Druckauftrag.
Immerhin schlägt auf Windows-Systemen mit XP SP2 und AMD64-Prozessor
die Datenausführungsverhinderung (DEP) an und verhindert die Infektion
des Systems.
Microsoft hat sein
Advisory zu der Lücke aktualisiert. Das alleinige Ausfiltern
von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch
auf den Suffixen JPG und BMP enden kann. Die API erkennt trotzdem,
dass in der Datei ein WMF-Bild steckt und ruft die anfälligen
Funktionen auf.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|