Microsoft veröffentlicht WMF-Patch vorab [Update]

Noch Donnerstag Nacht will Microsoft den Patch für die WMF-Lücke in Windows bereitstellen. Man sei mit dem Testen früher als geplant fertig geworden und Kunden hätte auf eine frühestmögliche Veröffentlichung gedrängt. Der Begriff Notfall-Veröffentlichung taucht in der Ankündigung nicht auf – Microsoft geht nach wie vor davon aus, dass die Schwachstelle nur begrenzt ausgenutzt würde. Das sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings anders und warnt vor "Kriminelle[n] Attacken über die Schwachstelle in Windows". "Nach Erkenntnissen des BSI wird die kürzlich ausgemachte Sicherheitslücke im Microsoft Betriebssystem Windows mittlerweile aktiv zur Verbreitung von Schadsoftware genutzt." Über 200 verschiedene, bösartige WMF-Dateien seien bereits bekannt und täglich erschienen neue. Auch den Einsatz von Trojanischen Pferden, die Angriffe auf Zugangsdaten für Online-Banking ermöglichen, habe man bereits mehrfach registriert.

Auf alle Fälle ist ein schnellstmögliches Update aller betroffenen Systemen anzuraten. Dazu gehören Windows 2000, XP und 2003 Server. Windows 98 (SE) und ME werden nicht mehr versorgt, obwohl die verwundbare Bibliothek auch dort vorhanden ist, da Microsoft für die Altlasten nur noch als kritisch erachtete Lücken fixt. Diese Einstufung sei aber nicht erforderlich, da man dort kein kritisches Einfallstor gefunden habe. Ähnliches gilt für Nutzer von NT 4, für das Microsoft ebenfalls keinen Patch veröffentlicht.

Wer die Bibliothek für den Windows Picture and Fax Viewer (Shimgvw.dll) deregistriert hatte, kann sie anschließend über den Kommandozeilenbefehl

regsvr32 %windir%\system32\shimgvw.dll

wieder registrieren. Den inofiziellen Patch von Ilfak Guilfanov sollte man vor dem Einspielen des offiziellen Updates deinstallieren. Dies geht einfach in der Systemsteuerung unter Software. Auf dem c't-Browsercheck können Sie testen, ob die Sicherheitslücke beseitigt wurde.

[Update]:
Der Patch ist per Windows Update und über Microsofts Security-Bulletin als Einzelpakete für Windows 2000 SP4, Windows XP SP1 und SP2, Windows XP Professional 64 Bit Edition, Windows Server 2003 und Server 2003 SP1, Windows Server 2003 und Server 2003 SP1 für Itanium und Windows Server 2003 x64 Edition bereits verfügbar.

Siehe dazu auch: (ju/c't)

• Security Bulletin MS06-001 von Microsoft
• Demo zum WMF-Sicherheitsproblem des c't-Browserchecks
• Demo zum WMF-Sicherheitsproblem des c't-Emailchecks
• Microsoft kündigt Patch für WMF-Lücke an auf heise Security
• Neujahrsgrüße nutzen WMF-Lücken auf heise Security
• Virenschutz gegen WMF-Exploit auf heise Security
• Weitere Details zur WMF-Lücke auf heise Security
• WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
• WMF-Bilder infizieren Windows-PCs auf heise Security