Microsoft schliesst WMF-Sicherheitslücke

[Gytha]

Falls ihr es noch nicht gelesen oder gehört habt: Es ist mal wieder ein Sicherheits-Update für Windows XP/2000 fällig.
Das Handelsblatt schreibt dazu:

Vorzeitiger Patch

Microsoft schließt Sicherheitslücke schneller als erwartet

Windows-Anwender können ihr System gegen bösartig konstruierte WMF-Dateien jetzt schützen. Tun sie es nicht, droht erheblicher Schaden.

HB DÜSSELDORF. Das Patch ist für die Windows-Versionen 2000, XP und Server 2003 bestimmt. Benutzer dieser Systeme sollten ihre Rechner umgehend durch die Installation des Programms immunisieren. Der Patch wird im Microsoft Security Bulletin MS06-001 zum Download angeboten. Er ist auch bereits in das reguläre Windows-Update-Verfahren unter update.microsoft.com eingebunden.

Normalerweise veröffentlicht Microsoft Aktualisierungen für Windows nur jeden zweiten Dienstag im Monat. Der Termin ist auch als „Patch Day“ bekannt. Die Vorab-Veröffentlichung des WMF-Patches ist für Microsoft ungewöhnlich. Sie ist ein Indikator dafür, wie kritisch auch der Windows-Hersteller selbst diese Sicherheitslücke sieht.

Die WMF-Sicherheitslücke ermöglicht es einem Angreifer, beliebigen Code auf dem Rechner des Opfers ausführen zu lassen. Auf verwundbaren Systemen genügt bereits die Betrachtung einer infizierten Grafik-Datei im Browser, um den Schadecode zu laden. Benutzer des Windows-eigenen Browsers Internet Explorer sind besonders gefährdet, da dieser WMF-Dateien auch ohne Rückfrage beim Benutzer interpretiert.

Die Bedrohung ist real: Das Bundesamt für Sicherheit in der Informationstechnik hat im Web bereits mehr als 200 bösartige WMF-Dateien ausgemacht.
(Quelle: http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1167333 )

Betroffen ist zwar in erster Linie der Internet-Explorer als Schwachstelle, aber wie man in diesem Artikel bei Heise unter "Demo zum WMF-Sicherheitsproblem" u.a. lesen kann, springt auch der Firefox unter bestimmen Umständen auf WMF-Troianer an.

Zuletzt geändert von Gytha am 16.03.2006, 17:53, insgesamt 1-mal geändert.

Danke - gleich erledigt

Und ich weiss mal wieder nicht wie es funktioniert.
Könntest Du für mich eine "Bedienungsanleitung" einstellen oder einen Link? Meine Kollegen frischen den Rechner immer auf. Ich hatte ihn aber erst Anfang der Woche im Büro und mag ihn nicht schon wieder mitschleppen.

Blue, wenn du XP hast und auf automatische Updates eingestellt hast, dann solltest du das Update schon zum Download angeboten bekommen haben.
Falls nicht, sag mir, mit welchem Betriebssystem du arbeitest und ich gucke mal nach einer Anleitung.

Windows XP aber nach einem Update wurde ich nicht gefragt. Werde ich irgendwo "registriert", wenn ich dann die Updates runterziehe?

XP läuft eigentlich nur, wenn die Version registriert ist. Und du kannst davon ausgehen, das MS alles, was sich auf deren Webseiten so tut, irgendwie aufzeichnet

Also Blue, dann schau doch mal auf die MS-Update-Seite, da kannst du entweder gezielt nach den für dich relevanten Updates suchen oder dein komplettes System auf automatische Updates einstellen. Ausserdem sind umfangreiche FAQs aufgeführt, die alle Fragen beantworten sollten.

Gytha, ich habe auch XP und es ist auf automatische Updates eingestellt, aber ich habe auch keine Mitteilung für ein Update bekommen. Ich habe es jetzt "zu Fuß" runtergeladen.

Okay, danke Dir Gytha. Dort finde ich mich zurecht.