Ungepatchte Sicherheitslücke WMF behoben

Derzeit (Dezember 2005) wird ein Zero-Day-Exploit ausgenutzt, der auf einer Schwachstelle in der WMF-Bibliothek von Windows aufbaut. Diese Bibliothek wird zur Anzeige von WMF-Bildern verwendet.

heise Security empfiehlt:

Bis Microsoft einen Patch bereitstellt, sollten Anwender und Administratoren auf PCs mit Windows XP und Server 2003 den Windows Picture and Fax Viewer (Shimgvw.dll) mit dem Kommandozeilenbefehl

regsvr32 -u %windir%\system32\shimgvw.dll

deaktivieren. Dies lässt sich nach dem Erscheinen und Einspielen eine Patches wieder rückgängig machen.

Diese Maßnahme schützt allerdings nicht vor der Infektion über Programme, wie Lotus Notes oder MS Office 2003, die unter Umständen die Bibliothek im Systempfad suchen und explizit nachladen. Um sich dagegen abzusichern, müsste man die Bibliothek löschen beziehungsweise umbennenen.

Update: Nun, da der Security-Patch von Microsoft installiert ist, möchte man vielleicht seine Thumbview-Ansichten von Ordnern wieder.

regsvr32 %windir%\system32\shimgvw.dll

aktiviert die nun sichere Bibliothek wieder.


 
Zum Kommentieren ist eine Registration notwendig.

Kategorien: IsaBlog

Kontakt

  • Beat Döbeli Honegger
  • Plattenstrasse 80
  • CH-8032 Zürich
  • E-mail: beat@doebe.li