Jump to content

WMF Lücke - Patch verteilen

heffa

Von heffa
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

heffa Proficient

heffa   10

Geschrieben
Geschrieben

Hallo,

 

es geht um folgendes problem:

http://www.heise.de/security/news/meldung/67866

ich denke das betrifft jeden admin mehr oder weniger...

 

es gibt einen unofiziellen Patch: http://www.hexblog.com/2005/12/wmf_vuln.html

und auch als MSI Packet (nur für englisch): http://users.utu.fi/vpjsuu/wmfhotfix/

 

Batch als Logonscript:

IF EXIST c:\wmf_fixed.log GOTO DONE

\\yourserver\softlocation\wmffix_hexblog13.exe /VERYSILENT /SUPPRESSMSGBOXES

copy \\yourserver\softlocation\wmf_fixed.log c:\wmf_fixed.log

 

ich hab gelesen das es nicht überall funktioniert.... toll.

 

hat jemand ein deutsches MSI Packet oder eine bessere Idee das sicher auszurollen?

 

gruß heffa

Link zu diesem Kommentar
weg5st0 Veteran

weg5st0   10

Geschrieben
Geschrieben

Hallo Heffa,

 

sorry aber, ich glaube das wird kaum einer in seinem produktiven Netz machen.

 

Abhlfe bei uns: in Mails und am Proxy werden wmfs ausgeblendet. Jpgs in mails u.ä. können zwar auch betroffen sein, aber das Mailogateway erkennt das exploit zumindest.

 

zugegeben auch nicht sicher, aber was tust du denn wenn MS einen Fix bringt und du dazu das o.g. runterschmeissen musst....

Link zu diesem Kommentar
heffa Proficient

heffa   10

Geschrieben
  • Autor
Geschrieben
lt. heise.de haben das mittlerweile alle gängigen virenscanner im griff.

siehe: http://www.heise.de/security/news/meldung/67848

 

greetings

 

da steht aber auch:

Außerdem warnt Marx, dass offensichtlich einige der Hersteller lediglich Signaturen für die von ihm verteilten Testexemplare gebaut hätten, aber keine generische Erkennung des Exploit-Mechanismus haben.
und zu welchem gehört jetzt mein virenscanner?

 

das beduetet nichts anderes dass die mutationen von einigen virenscannern nicht erkannt werden...

Link zu diesem Kommentar
Schluml Experienced

Schluml   10

Geschrieben
Geschrieben
also in dem artikel stehen zumindest bei den zwei scanern die ich verwende (home & work) "erkannten nun alle 73 Samples".

 

somit nehm ich an das ich sicher bin.

 

Der Schadcode ist nicht direkt mit den bisherigen WMF-Exploits verwandt, sodass die bereits existierenden Viren-Signaturen womöglich nicht ansprechen. Auch von den bisherigen Exploit-Familien sind ausgefeiltere Versionen erschienen, die laut Internet Storm Center von Viren-Scannern noch nicht erkannt werden.

 

Tja was nun... ;)

Link zu diesem Kommentar
angel-m.

angel-m.   10

Geschrieben
Geschrieben

Das Internet Storm Center hat die MSI Datei vor einigen Stunden wegen Problemen zurückgenommen.

 

Ich würde tendenziell schon dahin gehen, das Ding zu verteilen (wenn die MSI Datei wieder da ist). Ich glaub einfach mal nicht, dass unser Virenscanner alle Varianten und Mutationen erkennt.

 

Noch besser scheint mir aber ein gesunder Mix aus beidem: Die paar User mit Adminrechten bekommen das Ding manuell installiert und bei den anderen werdens hoffentlich die eingeschränkten Rechte und der mehrstufige Virenschutz tun.

Link zu diesem Kommentar
zahni Grand Master

zahni   521

Geschrieben
Geschrieben

Hier gibt es eine Demo:

 

http://www.heise.de/newsticker/meldung/67884

 

Ich habe auch meinem PC

 

regsvr32 -u %windir%\system32\shimgvw.dll ausgeführt.

 

Bei der Demo öffnet sich jetzt nur Irfanview, das mir was von einem unbekannten Dateiformat erzählt.

 

Morgen bin ich wieder auf Arbeit. Mal sehen was ich mache. Eigentlich sind die PC's alle ziemlich dicht und der Virenscanner ist aktuell.

 

Wenn der Exploit was runterlädt, apspeichert und dann ausfürt, wird das eh nix, wegen via GPO eingestellter Softwareausführungsbeschränkungen. Kurz: Programme dürfen nur von Lokationen ausgeführt werden, wo der User kein Schreibrecht hat. Ok, es gibt ein paar Ausnahmen, aber weder unter "Programme", noch unter "Windows".

 

-Zahni

Link zu diesem Kommentar
weg5st0 Veteran

weg5st0   10

Geschrieben
Geschrieben

am Dienstag nächste Woche ists dann endlich soweit:

 

Microsoft has completed development of the security update for the vulnerability. The security update is now being localized and tested to ensure quality and application compatibility. Microsoft’s goal is to release the update on Tuesday, January 10, 2006, as part of its monthly release of security bulletins. This release is predicated on successful completion of quality testing.

 

siehe

http://www.microsoft.com/technet/security/advisory/912840.mspx

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...