Die WMF-Sicherheitslücke und deren Auswirkungen sorgen weiterhin für einen hohen Beschäftigungsgrad bei Anwendern und Sicherheitsspezialisten. Tausende Web-Sites nutzen offenbar die Schwachstelle, um Ad- und Spyware zu verbreiten.

Derzeit ist die Ursache der Lücke noch nicht restlos geklärt. Der Sicherheitsdienstleister Secunia beschreibt spezielle WMF-Eigenschaften, die der Exploit missbrauchen kann. WMF-Bilder bestehen nicht nur aus reinen Vektor- und Rasterdaten, sondern aus einer Serie von Befehlen an das Graphics Device Interface (GDI). Diese Befehle unterliegen dabei keinen Einschränkungen.

Unglücklicherweise verarbeitet die GDI aber auch Befehle (Escape-Funktionen) zur Interaktion von Bildern mit Systemressourcen. Beispielsweise stoppt die Escape-Funktion SETABORTPROC etwa einen Druckauftrag. Immerhin schlägt auf Windows-Systemen mit XP SP2 und AMD64-Prozessor die Datenausführungsverhinderung (DEP) an und verhindert die Infektion des Systems.

Microsoft hat sein Advisory zu der Lücke aktualisiert. Das alleinige Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Die API erkennt trotzdem, dass in der Datei ein WMF-Bild steckt und ruft die anfälligen Funktionen auf.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE