Menü

WMF-Leck Reloaded

Zwei neue WMF-Exploits bringen WMF-verarbeitende Anwendungen zum Absturz, obwohl der Microsoft-Patch MS06-001 eingespielt wurde. Die jetzt aufgetauchten Demo-Bilder führen beispielsweise zum Absturz des Windows Explorer, wenn sie von ihm untersucht werden, etwa beim Löschversuch.

Bei den von Frank Ruder entdeckten Schwachstellen handelt es sich laut seiner Sicherheitsmeldung um Fehler in der Speicherverwaltung bei der Verarbeitung der manipulierten WMF-Dateien. Durch präparierte Bilder greift das GDI auf nicht alloziierte Speicherbereiche zu, was zu Zugriffsfehlern und in Folge zum Programmabsturz führt.

Wie schon bei der ersten WMF-Lücke handelt es sich hierbei nicht um klassische Pufferüberläufe. Vielmehr sind es Design-Fehler in dem 16 Jahre alten Format, die jetzt zu Problemen führen und deren Entdeckung durch Bösewichte nur eine Frage der Zeit war.

Bisher ist unklar, ob darüber auch eingeschleuster Code zur Ausführung kommen kann. Microsoft bestätigt die Abstürze und geht laut einem Eintrag im Security-Response-Center-Blog aber nicht davon aus, dass sich die Lücke zum Ausführen von Schadcode nutzen lässt; es handele sich vielmehr um ein Performance-Problem in Windows. Lediglich einige WMF-verarbeitende Anwendungen könnten sich unerwartet verabschieden.

Wie die Proof-of-Concept-Dateien jedoch belegen, lässt sich die Lücke zumindest zu einem Denial-of-Service gegen den Windows Explorer, also der zentralen Komponente für die Benutzerinteraktion einer Windows-Installation, missbrauchen. Eine auf dem Desktop abgelegte manipulierte WMF-Datei könnte so den Computer unbrauchbar machen, da der Explorer im Sekundentakt abstürzen würde. Die Taskleiste verschwindet, bis sich der Explorer neu gestartet hat, um daraufhin gleich wieder im digitalen Nirvana nach dem Rechten zu sehen; das Windows lässt sich nicht mehr benutzen.

Ruder empfiehlt in seiner Sicherheitsmeldung, wie zuvor schon bei der ersten WMF-Lücke die shimgvw.dll zu deregistrieren. Dazu muss an der Kommandozeile oder über "Ausführen" im Startmenü der Befehl

regsvr32 -u %windir%\system32\shimgvw.dll

vom Administrator ausgeführt werden.

Siehe dazu auch: (dmk)

Anzeige
Zur Startseite
Anzeige