Windows Meta File 0-day exploit ITW

#0
28.12.2005, 21:37
Member
Avatar Ajax

Beiträge: 890
Seitenanfang Seitenende
28.12.2005, 21:52
Member
Avatar Tille

Beiträge: 451
#2 Hi Ajax,

magst Du für die die nicht so ganz im Thema drin sind verraten was Du uns mitteilen magst ;)
also irgendein neuer böser Bug der WMV Videos manipulieren kann??

Tille
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.
Seitenanfang Seitenende
28.12.2005, 23:09
Member
Avatar Yourhighness

Beiträge: 279
#3 Eine von Windows genutzte Grafik(art) kann bei sogar gepatchten Windows XP SP2 Maschinen dazu genutzt werden um boesartigen Code auszufuehren. Dazu gehoert die sehr haeufig gefundene Infizierung mit dem Hinweis "Your computer might be infected."

Ich bin mir sicher Heise wird in kuerze darueber berichten. Es ist erst Heute bei F-secure und Securityfocus rausgekommen.

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
28.12.2005, 23:56
Member

Themenstarter
Avatar Ajax

Beiträge: 890
#4 .WMF ist ein Grafikformat

Der Exploit wurde schon auf mehrere Seiten gesichtet.

Zitat

We have a number of sites that we have found with this exploit. Different sites download different spyware. We only had a handful of websites using this new exploit but now we are seeing many more using this to install bad stuff. These image files can be modified very easily to download any malware or virus.
Quelle

Workaround(auch für Anfänger) bis M$ einen Patch herausbringt:

1. Control Registration Utility downloaden und entpacken.
2. Mit Hilfe des Tools nach shimgvw.dll suchen.
3 Rechtsklick auf shimgvw.dll und auf "Unregister Selected Item" klicken und bestätigen.

Gruß
Ajax
Seitenanfang Seitenende
29.12.2005, 11:06
Member
Avatar Yourhighness

Beiträge: 279
#5 Wie ich gestern erwaehnte, hier nun die Heise Meldung:
http://www.heise.de/security/news/meldung/67794

MfG,

Update:

Bei F-secure werden noch folgende Links erwaehnt:

http://www.microsoft.com/technet/security/advisory/912840.mspx
http://www.kb.cert.org/vuls/id/181038

Zitat

Microsoft's bulletin confirms that this vulnerability applies to all the main versions of Windows: Windows ME, Windows 2000, Windows XP and Windows 2003.
Google Desktop sollte - solange noch kein Patch vorhanden ist, deinstalliert werden.

Zitat

Bottom line is that if an image file with the exploit ends up to your hard drive, Google Desktop will try to index it and will execute the exploit in the process.

__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 29.12.2005 um 11:23 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
02.01.2006, 08:45
Member

Beiträge: 1132
#6 Einen temporären Fix plus Checker gibt's hier
http://castlecops.com/a6437-HAZARDOUS_SECURITY_ALERT.html
http://castlecops.com/a6438-Hot_off_the_press_WMF_Vulnerability_Checker.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
03.01.2006, 05:50
...neu hier

Beiträge: 1
#7 Howdy,

Hier gibt es auch was

http://de.castlecops.com/
Seitenanfang Seitenende
03.01.2006, 12:16
Member
Avatar Yourhighness

Beiträge: 279
#8 Guten Morgen!

War Heute Nacht nicht in der Lage es zu posten, als mache ich es jetzt mal:

Zitat

Metasploit, a well-known “white hat” group that comes up with code for exploits to test network systems (in other words, while their intent may be otherwise, the end up writing free code for hackers) has come up with a new way to hack the WMF exploit to “bypass all known IDS signatures”.
Link: http://isc.sans.org/diary.php?storyid=1002
Ursprung: Sunbelt Blog
http://sunbeltblog.blogspot.com/2006/01/wmf-update.html

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
03.01.2006, 12:28
Member
Avatar Yourhighness

Beiträge: 279
#9 Zur Ergaenzung (gerade erst gefunden):

Zitat

...in a practical sense, only Windows XP and Windows Server 2003 (in all their service pack levels) are vulnerable to the WMF flaw.
...all versions of Windows back to 3.0 have the vulnerability in GDI32. Except for Windows XP and Windows Server 2003, no Windows versions, in their default configuration, have a default association for WMF files, and none of their Paint programs or any other standard programs installed with them can read WMF files...
Quelle: Larry Seltzer / Eweek: http://blog.ziffdavis.com/seltzer/archive/2006/01/03/39684.aspx

Linked via F-secure: http://www.f-secure.com/weblog/#00000764

MfG

- Edit -

Zitat

Microsoft has completed development of the security update for the vulnerability. The security update is now being localized and tested to ensure quality and application compatibility. Microsoft’s goal is to release the update on Tuesday, January 10, 2006, as part of its monthly release of security bulletins. This release is predicated on successful completion of quality testing.

Quelle
Direkt Link
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 03.01.2006 um 22:51 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
04.01.2006, 20:58
Member
Avatar Yourhighness

Beiträge: 279
#10 "Microsoft's OFFICIAL SECURITY UPDATE leaked onto the Internet early (and it works great!)"

direkt link: http://www.grc.com/sn/notes-020.htm
via: http://sunbeltblog.blogspot.com/2006/01/microsoft-security-patch-has-leaked.html

Zitat

Von Steve Gibson: "Microsoft offizielles Sicherheitsupdate frühzeitig in das Internet durchgesickert (und es funktioniert wunderbar!). Es scheint als ob wir uns ziemlich sicher sein können, das Microsoft das WMF Sicherheitslücken chaos bald aufgeräumt hat. Microsoft's verschlüsseltes und authentisch signiertes
( wenn auch vielleicht nicht das letzte ) Sicherheitsupdate, dass diese Sicherheitslücke adressiert ist frühzeitig in das Internet durchgesickert. Wie erwartet arbeitet Ilfak's WMF Sicherheitspatch und sein Sicherheitslückentester nahtlos mit dem zu erwartenden Sicherheitspatch von Microsoft zusammen. Ilfak's Code kann während der Installation des Microsoft Updates laufen gelassen werden und dannach sicher entfernt werden, nachdem das System nach dem Update einen Neustart durchgeführt hat.
Meine Uebersetzung für Sabinschen, für Ihre Seite: http://virus-protect.org/artikel/newsletter/wpfv.html

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 04.01.2006 um 21:55 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
05.01.2006, 12:26
Member
Avatar Yourhighness

Beiträge: 279
#11 Guten Morgen,

nun gibt es auch schon die ersten Screenshots von dem durchgesickerten Hotfix:
http://sunbeltblog.blogspot.com/2006/01/we-take-quick-look-at-microsoft-hotfix.html

N.B: Ilfak's Seite ist auch wieder im Rennen: http://www.hexblog.com/index.html

Zitat

Once we were made aware of the issue (December 28, 2005) we immediately began developing a security update for the WMF vulnerability on an expedited track. Normally the entire process of creating a security update from start to finish, creation, to testing, to release, takes four to six weeks. By taking as many as 200 of our people and having them focus 100% on this issue only we have cut that time down to two weeks and expect to update to be ready on January 10th for release as part of our normal release schedule (again, this is dependant on it clearing all of our quality testing but the potential is high that it will be done on time).
Link: http://myitforum.com/blog/rtrent/archive/2006/01/04/18089.aspx
MfG,

- Edit -

Ich kenne mindestens 2 Quellen des inoffiziellen Patches, es wird allerdings von Sicherheitsexperten geraten auf das M$ Sicherheitsupdate zu warten. Es waere daher unverantwortlich, diese nicht 100% getesteten Links hier zu posten.
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 05.01.2006 um 14:01 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
05.01.2006, 21:15
Member
Avatar Yourhighness

Beiträge: 279
#12 Microsoft stellt Sicherheitspatch schon Heute zur Verfuegung!

Zitat

Microsoft will release the update today on Thursday, January 5, 2006, earlier than planned.

Microsoft originally planned to release the update on Tuesday, January 10, 2006 as part of its regular monthly release of security bulletins, once testing for quality and application compatibility was complete.

…The security update will be available at 2:00 pm PT as MS06-001.

…Microsoft will hold a special Web cast on Friday, January 6, 2006, to provide technical details on the MS06-001 and to answer questions.

Link: http://www.microsoft.com/technet/security/bulletin/advance.mspx
Via: http://sunbeltblog.blogspot.com/2006/01/flash-microsoft-going-out-of-cycle-to.html
Screeny:

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Dieser Beitrag wurde am 05.01.2006 um 21:46 Uhr von Yourhighness editiert.
Seitenanfang Seitenende
06.01.2006, 00:42
Member

Beiträge: 462
#13

Zitat

Yourhighness postete
Microsoft stellt Sicherheitspatch schon Heute zur Verfuegung!
(...)
Thx für den Hinweis :yo
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende
06.01.2006, 02:15
Member
Avatar Laserpointa

Beiträge: 2176
#14 Seid gerade gibt es nun auch vorab den Microsoft Patch ;)
bei mir funktioniert er gut ;)

Greetz Lp
Seitenanfang Seitenende
06.01.2006, 18:35
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende