Exploit für WMF-Lücke bedroht Windows-Rechner

Windows Vor kurzem ist ein Exploit veröffentlicht worden, der mit Hilfe einer speziell manipulierten WMF-Bilddatei eine bisher unbekannte Sicherheitslücke nutzt, die offenbar in der Windows Graphics Rendering Engine aufgetreten ist. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Was kann man machen? Ich bekomme Angst
 
@sammler: Nicht blind auf alles klicken und am besten, wenn man mit Windows noch online geht nicht als Admin rumsurfen...
 
@sammler: Mit dem folgenden Workaround bist du auf der sicheren Seite: "Da für die Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer / Extras / Ordneroptionen / Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen." Quelle: heise online
 
@Swissboy: Hat man dann Einschränkungen wenn ich das lösche und kann man das später wieder Rückgängig machen wenn es mal ein Update gibt?
 
@overflow: nicht als admin rumsurfen? das gilt vlt für leute die sich nicht pc's und dem drumherum auskennen oder für leute die oft auf zweifelhaften seiten surfen...
aber leute die sowas nicht machen haben nie probleme mit viren etc.
ich hab seit jahren keinen einzigen virus/trojaner etc. gehabt! und surfe sogar auf tils zweifelhaften seiten und bin immer als admin angemeldet! und benutze keine firewall und nur einen tag in der woche antivir um zu schauen ob ich vlt doch mal was hab...
wenn man viren etc. hat ist eigentlich der andwender selber schuld! denn es geht wie bei mir auch ohne das alles!
 
@ darkstar85: Gefrei dem Motto, dass man sich nicht anschnallen muss, nur weil man noch nie einen Unfall hatte, nicht wahr? Letztlich sollte jeder Verkehrsteilnehmer dafür Sorge tragen, dass seine Verkehrsteilnahme sowohl für ihn selbst, als auch für alle anderen möglichst risikoarm ist - egal, ob es sich um den Internetverkehr oder den Straßenverkehr handelt.
Natürlich ist die Wahrscheinlichkeit sich einen Virus/Wurm einzufangen wesentlich geringer, wenn man nicht einfach auf alles mögliche klickt, nicht den IE nutzt und auch Outlook (Express) vermeidet. Genauso ist das Arbeiten als nicht-priviligierter Nutzer nicht pauschal sicher, aber zumindest sicherer - und das ist dabei das Wichtige. Darüber hinaus sei noch ein Tipp mit auf den Weg gegeben: Das ein Virusscanner nichts erkennt, heißt nicht, dass man nicht infiziert ist. Zum einen sind die Erkennungsroutinen massiv unterschiedlich, was ihre Qualität betrifft, zum anderen könnte es sein, dass die Schadsoftware selbst unter Umständen Einfluss auf den Scanner nimmt - infizierte Dateien also gar nicht gescannt werden. Nur mal so als Gedankenanregung.
 
@Major König: WMF-Dateien sind dann keiner Anwendung (standardmässig der Windows Bild- und Faxanzeige) mehr zugeordnet, dies müsstest du dann wieder neu tun. Alternativ kannst du den von mir in Kommentar [o2] [re:1] beschriebenen Workaround anwenden, der lässt sich sehr einfach rückgängig machen, dieser bietet aber keinen Schutz vor infizierten WMF-Dateien z.B. von einer CD. Da WMF für die meisten Anwender ein eigentlich recht unwichtiges Format ist, dürfte die fehlende Verknüpfung eh problemlos zu verschmerzen sein.
 
@darkstar85: 1. Kann man sich auch trojaner/viren etc. auf "normalen" Seiten einfangen(Stichwort Google-Ads) 2. Was willst du denn dagegen machen wenn sich ein Trojaner im Hintergrund ohne irgendeine Aufforderung installiert und das nur weil du mit Admin-Rechten rumsurfst. Sicherlich gibt es auch welche die seit einigen Monaten betrunken Autofahren und noch nie einen Unfall gebaut haben, seht Sicherheitsbewusst ist deine Methode aber nicht...
 
@Lost Soul: mit fahren ohne gurt kann man das doch garnicht vergleichen... ist ein bisschen arg übertrieben! und ich habe sicherleich keine schädlinge auf dem rechner!
1mal die woche wird nach allem gesucht mit mehreren programmen! @overflow
also ich kann mir nichts durch google ads einfangen da das bei mir gebloked wird!
und warum soll ich mich mit einem eingeschränkten konto anmelden wenn das risiko in meinem fall eh sehr gering ist? Und falls doch mal irgendwie man ein trojaner auf meine platte kommt oder ein virus geh ich in den abgesicherten modus und lösch ihn einfach!
und falls er system zerstörend ist hab ich meine backups!
 
@overflow: zu 1. du spielst darauf an das die werbeserver mal infiziert waren weil sich da einer reingehackt hatte , das problem wurde behoben und ist nicht grundsätzlich .
 
@darkstar85: Also eigentlich ist es ja der sinn der Schädlinge den Virenscanner so zu manipulieren bzw. so verändert worden zu sein, das sie kein Virenscanner entdeckt. Aber ich seh nicht das bei dir das Risiko besonders gering sein soll, ohne Firewall und mit Admin-Rechten ist das Risiko alles andere als gering. Aber wenns dich nicht stört dann deine Daten wieder per Backups einzuspielen, kann dir sowas natürlich ziemlich egal sein...
 
@voyager: Zeigt aber das so eine Gefahr besteht und man nicht mit dem Argument kommen kann "ich surfe sowieso nur auf sicheren Seiten"...
 
@overflow: es sind ja nicht nur die internet seiten.. ich installier auch nicht jeden scheiß! benütze zu 99% den firefox habe einen router usw. o.k. das trifft vlt auf einige zu aber ich hab mir so noch nie was eingefangen also warum soll ich dann performance mindernte av scanner immer laufen lassen die wie du sagst ja eh nicht alle viren entdecken können da die sich verstecken und ein eingeschränktes konto benützen das nur wieder alles umständlich macht und auch wieder performance kostet? (performance daher da unter dienste die schnelle benutzerumschaltung dann wieder aktiviert werden sollte [den ich deaktiviert habe] ) so unsicher ist das internet auch nicht wie von vielen hier beschrieben! nach ein paar kommentaren hier müsste man ja geradezu bombadiert werden und man hätte sonst keine chance im net zu surfen...

//edit// ich will natürlich nicht sagen dass alle es so machen sollen wie ich! gerade anfänger sollten das nicht machen aber es gibt sicherlich viele erfahrene user die es ähnlich wie ich machen und denen auch nie etwas passiert!
 
@darkstar85: Das mit den eingeschränkten Benutzer soll ja bei Vista besser werden, normalerweise sollte es Standard sein, so zu arbeiten...
 
@overflow: hm vista ich weis nicht einerseits find ich vista einfach genial! aber auf der anderen seite ist wieder das mit den unerwünschten datenaustausch... ich werde da erst mal abwarten bevor ich mir das zulege da ja auch noch ein neues dateisystem kommen soll und da es nicht bis zum start fertig wird und erst später hinzugefügt wird warte ich damit!
 
@swissboy: Danke swissboy ich habe es erstmal so wie in deinem Kommentar [o2] [re:1] gemacht. :)
 
@ darkstar85: ZITAT "ein eingeschränktes konto benützen das nur wieder alles umständlich macht und auch wieder performance kostet? (performance daher da unter dienste die schnelle benutzerumschaltung dann wieder aktiviert werden sollte [den ich deaktiviert habe] " Seit wann kostet ein Benutzerkonto Performance? Es lässt sich doch fast uneingeschrängt damit arbeiten. Und den Dienst "Kompatibilität für schnelle Benutzerumschaltung" hab ich bei mir auch deaktiviert, wo liegt das Problem? Bist du auf den Dienst angewiesen? Wechselst du so offt zwischen den Konten, und müssen dabei die Anwendungen unbedingt weiterlaufen? Regelmäßig überall das gejammer und gemecker über Sicherheitslücken und ein ach so unsicheres Windows System das MS ja nie behoben bekommt, aber andererseits standhaft jede Möglichkeit zur steigerung der Sicherheit ablehnen. Naja, verstehe wer will. Oder gibt dir nur der Begriff Administrator dabei das Gefühl cooler zusein? Achso na klar, stand ja schon in deinem ersten post. ZITAT: "nicht als admin rumsurfen? das gilt vlt für leute die sich nicht pc's und dem drumherum auskennen" Als Admin zu arbeiten ist eher noch einfacher, da es ebend unproblematischer und konfortabler ist, als mit Benutzerrechen, meinst du nicht auch? Wieso ist also ein Benutzerkonto nur was für Anfänger? Ist ja nun völliger Quatsch. :-)
 
@win-fan: lies erst mal alle beiträge und dreh mir nich die wörter rum!
wenn ich schon mit eingeschränktem benutzerkonto arbeiten würde dann wenigstens mit der schnellen benutzerumschaltung um wenigstens ein bisschen comfort zu haben...
das mit für anfänger hat nichts mit cool oder ähnliches zu sein! ich finde es nur nervig eingeschränkt zu arbeiten wenn es nicht nötig ist! sicherheit schön und gut aber man kann es auch übertreiben! wenn man ein eingeschränktes konto nicht nötig hat warum soll man dann solches benutzen? ich hab bis jetzt nie probleme damit gehabt also seh ich es nicht ein eingeschränkt zu arbeiten das bisschen sicherheit ist mir in dem sinn egal da ich bisher nie probleme damit hatte und warscheinlich auch nicht so schnell welche bekommen werde!
 
@ darkstar85: Ich dreh deine Wörter nicht im Mund um, und ja, ich hab alle Beiträge vorher gelesen. Und das ist nämlich dein eigentliches Problem, deine Faulheit. Und wie man sieht ist dir nur die Sicherheit egal, aber keineswegs bewusst, was ein riesen unterschied ist. Und auch du kannst dir nicht sicher sein ob dein System noch "dir gehört" und wirklich sauber ist. Und wozu brauchst du die schnelle Benutzerumshaltung wirklich? Sie ist nämlich wieder ein zusätzliches Sicherheitsrisiko. Ich hab sie deaktiviert und wenn ich den Benutzer wechsle (was ja nicht sehr häufig vorkommt. warum auch), melde ich ebend den jetzigen Benutzer ab und den anderen an, dauert nicht viel länger und reicht völlig. Oder müssen deine Anwendungen dabei unbedingt weiterlaufen?
Und Sicherheit ist ebend nicht egal und übertrieben.
 
Naja, es gibt - mal wieder - einen essenziellen Unterschied: "Internet Explorer users might automatically get infected. Firefox users can get infected if they decide to run or download the image file."
Beim Firefox und Opera ist eine Interaktion vom User notwendig, um sich zu infizieren, beim IE nicht. Und wer Daten aus möglicherweise unsicheren Quellen (also letztlich aus jeder Quelle, die z.B. keine eigene CD/DVD/was-auch-immer ist) einfach so ausführt/anguckt/... ohne vorher einen Scan ausgeführt zu haben, ist letztlich selber Schuld.
 
@LostSoul: Das lässt sich auch problemlos für den Internet Explorer so einstellen. Einfach bei der Verknüpfung von WMF-Bildern die Option "Öffnen nach dem Download bestätigen" aktivieren (Windows Explorer / Extras / Ordneroptionen / Dateitypen / Erweitert). Ich bevorzuge diesen Workaround gegenüber dem von heise empfohlenen radikalerem (siehe Kommentar [o1] [re:2])  PS: Wäre es zufällig ein anderes Bildformat (z.B. PNG), dann wären andere Browser genauso betroffen. Von einem "essenziellen Unterschied" kann man also sicher nicht sprechen.
 
@swissboy: Die Frage, für einen erfahrenden Anwender, ist ja nicht, ob ein System sicher gemacht werden kann, sondern wie sicher es im Auslieferzustand ist, denn viele User werden nichts an den Einstellungen des Browsers ändern - nicht ohne Grund ist auf x Millionen Rechnern ActiveX und vieles mehr aktiv, obwohl an sich nicht benötigt.
Damit bleibt das Resultat - für den Benutzer: leider - das, was ich schon ansprach: Während der IE - mal wieder - direkt und ohne Interaktion verwundbar ist, muss der User beim FF schon noch selbst klicken und sich somit letztlich selbst infizieren __ und das *ist* ein essenzieller Unterschied. Mir geht es dabei ja auch gar nicht um das übliche "Browser-Bashing" oder die Frage, ob nun der IE, der FF oder Opera der "beste" Browser ist, sondern um die Tatsache, dass - ebenfalls mal wieder - eine Sicherheitslücke nur deswegen genutzt werden kann, weil MS alles miteinander verzahnt und alles automatisch ausführen lässt.
Übrigens ist der Vergleich mit dem PNG-Format nicht korrekt. PNGs und diverse andere Formate werden von FF-eigenen Bibliotheken angezeigt und nicht über die Windowsbibliotheken dargestellt. Damit wäre der FF nicht betroffen, wenn die Windows-PNG-Bibliothek für was-auch-immer anfällig wäre (deswegen kann der IE z.B. auch, im Gegensatz zum FF, nicht mit der PNG-Transparenz umgehen). Der Fehler mit dem WMF-Format tritt ja auch nur auf, weil zum Anzeigen auf die Standard-MS-Anwendung verwiesen wird, welche unsicher ist.
 
@swissboy: "PS: Wäre es zufällig ein anderes Bildformat (z.B. PNG), dann wären andere Browser genauso betroffen. Von einem "essenziellen Unterschied" kann man also sicher nicht sprechen."...Ich deke man kann doch...es IST nur der IE betroffen und es handelt sich NICHT um andere bildformate...mit "was wäre wenn?" braucht man hier sicher nicht anzufangen, es ist wie es ist...
 
@LostSoul: Stimmt genau. Kein System ist so schlecht vorkonfiguriert wie Windows bei (nach) der Installation. Hauptsache bunt, nur leider nicht mehr zeitgemäß.. Diverse Linuxdistrubtions sind jedenfalls immer auf der Höhe der Zeit und man muss keine Panik bekommen, wenn man mit einer Linuxdistrubtion ans Netz geht. Aber okay, Microsoft kopiert ja so manches von Linux und Apple um sicherer zu werden. Also man darf hoffen. Aber das ist ein anderes Thema.
 
@LostSoul: Ich habe keine Lust eine Endlosdiskussion zu diesem Thema anzufangen und schon gar nicht den ewigen stupiden Browserkrieg. Es hat auch schon andere Male Probleme mit Grafikbibliotheken (nicht nur Windows-internen) gegeben bei denen nicht nur standardmässig der IE betroffen war. Diesmal ist es so, aber das Problem lässt sich mit einfachsten Workarounds umgehen. Ich sehe da trotzdem keinen "essenziellen Unterschied". Wenn ein neuer Exploit für eine Grafikbibliothek auftaucht (Windows-intern oder Windows-extern) führt dies immer zu unvorhergesehenen Problemen.
 
@Swissboy: Stimmt. Einen Browserkrieg anzufangen, wenn man auf der Seite des IE steht wäre auch mehr als dumm. Denn ausser, dass man ihn zum Windowsupdate benötigt hat er keinerlei Vorteile. Da würden den Leuten wohl schnell die Argumente ausgehen. gf
 
@felixfoertsch: Browserkriege sind immer stupide, egal auf welcher Seite man steht.
 
AniSpyware sollte wohl AntiSpyware lauten. :)
 
@Major König: Oh wie schade, wmf und "AniSpyware", also "animierte Spyware" fände ich in diesem Zusammenhang doch so schön passend! :-D *sncr* Gruß, Fusselbär
 
Genau das ist mir gestern abend passiert! Dummerweise war ich grad als Admin angemeldet und dadurch war auch der Kaspersky Virenscanner aus... Naja... als sich das Fenster von der Windows Bildvorschau geöffnet hat wußte ich sofort das da was nicht stimmt. Das Netzwerkkabel hab ich sofort gezogen und hab dann im abgesicherten Modus mit Kaspersky den "Trojan-Downloader Zlob" gelöscht. Unter normalem Windows ist mein Rechner beim desinfizieren immer abgestürtzt. Wohl weil der Zlob die winlogon.exe infiziert.
 
@drschnagels: Ich hoffe du hast jetzt auch den Workaround aus Kommentar [o1] [re:2] oder [o2] [re:1] angewendet, damit dir dies nicht nochmals passieren kann.
 
@drschnagels: Kaspersky verhindert das Ausführen von dem Exploit.
 
@swissboy: immer wieder nett zu lesen wie Du auf Deine eigenen Kommentare verweist .. wenn jemand mit dem lesen bis hierher gekommen ist sollte er eigentlich Deine Kommentare hinter sich haben...
 
@drschnagels: Was für ein Unsinn. Das WMF-Bild wird bereits vom IE interpretiert, noch während es in den Cache geschrieben wird. Idealerweise behauptet KAV dann ja auch noch, daß es den Zugriff blockiert habe und alles in Ordnung sei, dabei ist überhaupt nix in Ordnung.
 
@Rika: Das WMF-Build wird doch gar nicht vom IE interpretiert, sondern allenfalls von der Windows Bild- und Faxanzeige geladen, aber das lässt sich ja mit einfachen Workarounds verhindern.
 
ein noch simplerer workaround ist allen downloadcontent vor speichern/öffnen zu bestätigen, dafür gibt es ein registryeintrag.
 
gerade mal getestet und anschleissend anderthalb Stunden damit verbracht, die Seuche wieder runterzukriegen ... nu muss ich mein windows neu aktivieren ... oh oh oh :-/
 
symantec ist da schon schneller und hat eine exploit-erkennungs-signatur eingepflegt http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.56.html
 
@voyager: juhuu, jetzt hast du bestimmt auch noch den letzten symantec hasser überzeugt. im ernst: weil die meisten symantecuser von der metalität her zu über 90 prozent als admin mit dem IE rumsurfen, kann man das wohl auch vom symantec syndikat erwarten.
 
@sir-talis : kinder kann man nicht überzeugen , die ändern ihre meinung wie gerade die windrichtung steht :)
 
@voyager: symantec sollte lieber mal an einer Methode arbeiten die ihre Software wieder rückstandslos entfernt. Aber scheinbar haben sie sich ja wenigstens im Bereich der Reaktionszeit gebessert, vor ein paar Monaten dauerte ja sowas noch eine Woche und länger...
 
@voyager: das mit den kindern muss stimmen, man sieht es an dir. @wf mods: bevor es wieder mecker gibt: mein comment re1 war zum topic: "weil die meisten symantecuser von der metalität her zu über 90 prozent als admin mit dem IE rumsurfen, kann man das wohl auch von symantec erwarten." der comment von voyager ist hier absolut ot, aber ich verzeihe ihm.
 
@ overflow : seit der 2005er version kannst du jetzt schon installieren und deinstallieren ohne das aktive oder störende objekte oder volle ordner zurückbleiben , ich weiss du glaubst das sowieso nicht aber probiers wenigstens aus bevor du wieder verbal zurückschlägst . klein tip , nicht soviel plump bashen dann ist man auch glaubwürdiger @talis: bei dir wissen wir es ganz genau das ich mehr als doppelt so alt bin wie du, das war wohl nichts :)
 
@voyager: Ich werde mir sicherlich kein Symantec Produkt auf den Rechner spielen, das ist mir der Test nicht wert. Aber wenn du sagst das es jetzt besser ist, will ich dir mal glauben. Zum Thema bashen, ich hab genug Kunden bei denen die 2003er und 2004er Versionen nicht deinstalliert werden können und vielleicht sollest du beim Thema Glaubwürdigkeit mal etwas zurückschalten, viel zum Thema, außer ein paar schwammigen Formulierungen, seh ich in den News von dir meistens nicht...
 
@overflow : lieber eine formulierung die klar verständlich ist als irgendwelche kaum bewiesenen behauptungen in dem raum zu werfen die die ganze kommentatorgemeinde in helle entrüstung versetzt , gell ! aber dir machts ja spass solange hier keiner für ordnung sorgt :)
 
@owerflow: die Methode zum Rückstandslosen Entfernen gibt es: auf der Homepage von Symantec zu finden: nennt sich manuelle Deinstallation und klappt immer definitiv.
 
Ja und? Das hilft gegen den Exploit, wenn via IE getriggert, genau gar nix!
 
@rika: ach rika , ich habe es gestern 3x probiert und 3x wurde die WMF gesperrt und es passierte rein garnichts weiter.
 
@voyager: Meine Behauptungen sind ja wenigstens haltbar, wenn du die dann noch anzweifelst und meine dann von mehreren anderen Kommentarbenutzern bestätigt werden, ist für mich die Welt in Ordnung :-)
 
du meinst von deinen zweitnicks , naja wers braucht.
 
@voyager: Hmm, also wenn ich soviel Zeit hätte mir auch noch mehr nick's zuzulegen und dann auch noch unter denen zu posten wäre ich wirklich froh. Aber zum Thema Nick's, wie war das noch yoyager is also known as: zauberer,bond7, wie hießen die anderen alle noch?
 
Wann wird endlich mal das Internet vom Megavirus -WINDOWS- gesäubert? Ist ja nicht mehr auszuhalten diese Massenpanik.
 
@antitrollkommando: hat sich erledigt...
 
@darkstar85: Von Sarkasmus hast du aber auch noch nichts gehört. Alles muss man erklären. Hirn einschalten geht nicht, oder?
 
@antitrollkommando: in diesem forum musst du das dazu schreiben da es hier viele MS hasser gibt die sowas ernst meinen würden! da du das sarkastisch meinst nehm ich meinen beitrag zurück!
 
ähhhm... kennt ihr nicht die dateiausführungsverhinderung von windows?
ich war grade eben auch auf einer solchen seite und da hat mir windows mit der dateiausführungsverhinderung den hintern gerettet, weil es einfach keine "nicht-vertrauenswürdigen" programme ausführt und sofort abblockt. das ganze kann hier eingestellt werden:
rechtsklick auf arbeitsplatz __> eigenschaften.
'erweitert' auswählen und dann unter 'systemleistung' auf einstellungen klicken.
anschliessend auf 'dateiausführungsverhinderung' klicken und 'dateiausführungsverhinderung für alle programme und dienste mit ausnahme der ausgewählten aktivieren' klicken.
und schon seid ihr vor allen (?) 'bösen' dateien geschützt.
mfg freemark
 
@freumark: habe grade gelesen das das nur für athlon64 prozessoren gilt... aber da sollte es auch genug geben, die so einen besitzen :)
hier noch ein link dazu: http://www.pcwelt.de/know-how/software/101996/index13.html
 
@freumark: jein, bei athlon64-Prozessoren wird es zusätzlich von der Hardware her unterstützt. Bei anderen Prozessoren wird es zumindest (nicht so sicher) von Windows softwaremäßig gemacht.
 
Wenn man sich ein wenig mehr Mühe gibt, kann man auch das problemlos umgehen. Gibt leider viel zu viele Leute, die so naiv sind und glauben, daß es tatsächlich schützen würde... es erschwert nur.
 
habe gerade das exploit ausprobiert, funktioniert einwandfrei mit der deutschen windows xp sp1 version! sowohl mit FF als auch mit dem IE, allerdings wird beim FF dieser Vorgang nicht automatisiert wie beim IE.
ist woll nen kleiner nachfolger des jpg exploits. zum test habe ich nen backdoor hochgeladen, und dann die manipulierte seite aufgerufen. und mein virenscanner hat, bei öffnen der seite in den ordner "temporary internet files" angeschlagen. :) könnte vllt. zur einer massenbedrohung werden wie der RPC dcom exploit, durch den sasser kam!
 
@h3r0in: Schön wäre es wenn es wieder eine Wurmwelle gäbe, subjektiv empfunden haben ich das Gefühl dass nach den grossen Wellen der letzten Jahre das Sicherheitsbewusstsein doch etwas sensibilisiert wurde. Wenns so drastische Massnahmen benötigt...
 
Microsoft hat inzwischen ein Security Advisory (912840) dazu veröffentlicht: http://tinyurl.com/bmqx8  Als Workaround wird darin vorgeschlagen die Windows Bild- und Faxanzeige durch deregistrieren der Datei shimgvw.dll vorübergehend komplett zu deaktivieren. Ein Bugfix wird folgen.
 
es geht wesentlich einfacher die automatische ausführung der WMF-datei zu verhindern , dabei muss man das speichern/öffnen des content bestätigen .
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"AlwaysPromptWhenDownload"=dword:00000001
 
@voyager: ... siehe auch mein Kommentar [o2] [re:1].
 
@swissboy: mit dem registrykey erwischst du auch anderes zeug , z.b. pdfs , alles was in einer externen anwendung verknüpft ist.
 
@voyager: Fragt sich ob das wirklich Sinn macht. Ich bin der Meinung NEIN. Ich will ja (zumindest im Moment) nur den automatischen Download von WMF-Bildern unterbinden. Deine Variante schiesst über's Ziel hinaus.
 
@swissboy: na mein gott, einmal mehr auf öffnen o. speichern drücken ist ja soviel arbeit :)
 
Habe den Explot eben ausprobieren wollen unter einen abgesicherten Windows 2000 mit WinRobots QuickSurfer auf HUW 1.
Bei mir ist nix passiert, es wurde nichtmal die Seite angezeigt.
Vermutlich so wie immer, dass ohne Scripting und ActiveX nix passieren kann. Denn Faxanzeige usw. sind ja externe Elemente, das sollte zusammen mit Scripting und ActiveX deaktiviert sein.
Hab noch nie irgendein Exploit gehabt der trotz WinRobots-QuickSurfer auf HUW 1 irgendwas angerichtet hat. Hätte mich auch gewundert wenn es diesmal so gewesen wäre.
 
auf dem Video könnt ihr eine erfolgreiche infektion mit dem WMF exploit sehen . http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv
 
Eine Frage: Kann man dieses Problem nicht auch lösen wenn man andere Programme wie zum Beispiel IfranView zum Bilder anzeigen verwendet ?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles