Da man mittlerweile überall haufenweise Halbwahrheiten zu dieser Sicherheitslücke findet, hier ein paar Fakten:
Wie an den meisten Stellen schon beschrieben, kann der Fehler über die Library shimgvw.dll ausgenutzt werden. Diese gehört zum Windows Picture and Fax Viewer und wird zum Einem von diesem verwendet. Zum Anderen aber auch von Windows selbst um Thumbnails in Explorerfenstern anzuzeigen und Metadaten (z.B. in Tooltips) anzuzeigen. Einige andere Programme nutzen diese Funktionalität ebenfalls, z.b. Desktop-Search Software. Der eigentliche Fehler scheint allerdings in der gdi32.dll zu liegen.
Der Exploit lässt sich nur ausnutzen, wenn manipulierte Bilddateien im Windows Picture and Fax Viewer geöffnet werden, ein Ordner mit einem manipulierten Bild im Explorer geöffnet wird, und Thumbnails aktiviert sind, oder die Dateien im Explorer ausgewählt werden, bzw. der Mauscursor sich über einer manipulierten Datei befindet (oder eine Desktop Search versucht über shimgvw.dll Metadaten zu indizieren). Natürlich können auch noch weitere 3rd Party Produkte betroffen sein.
Es besteht kein Problem zu bestehen, wenn diese Bilder in eine Webseite als ganz normale Bilder eingebettet sind. Im Internet Explorer treten keine Probleme auf; Firefox und Opera können WMF-Bilder nicht anzeigen.
Probglemtisch wird es hingegen, wenn das manipulierte Bild nicht eingebettet ist, sondern automatisch hernutergeladen wird.
Über Systemsteuerung->Ordernoptionen->Dateitypen lässt sich einstellen, welche Dateitypen automatisch ohne Rückfrage gedownloadet und mit dem Verknüpften Programm geöffnet werden sollen.
In der Standardeinstellung werden alle mit dem Windows Picture and Fax Viewer verknüpften Dateien automatisch geöffnet. Ändert man dies, verhalten sich diese Dateitypen ganz normal, wie z.B. auch EXE-Dateien und es erscheint der übliche Öffnen/Speichern/Abbrechen Dialog.
Installiert man ein anderes Programm, welches sich mit den Bilddateien verknüpft (z.B. Paint Shop Pro), wird diese Einstellung i.d.R. auch wieder auf Download bestätigen gesetzt.
Diese Einstellungen gelten zwar für Windows im Allgemeinen, die meisten anderen Browser ignorieren sie aber: Opera und Firefox verwenden z.B. eine eingene Liste von Dateitypen die angibt, ob das Öffnen bestätigt werden muss.
Bei meinen Tests hat die Datenausführungsverhinderung (Data Execution Prevention, DEP) den Exploit erfolgreich abgewehrt (DEP für alle Anwendungen aktiviert).
Schaltet man diese ab, wird allerlei Schadsoftware aus dem Internet nachgeladen, das ganze sieht dann zunächst so aus (getestet mit shimgvw.dll 6.0.2900.2680 und 6.0.2900.2180):
Die Software DEP für Preozessoren die kein Hardware DEP unterstützen, kann den Exploit übrigens nicht blocken.
Windows OneCare allerdings ist in der Lage den Exploit zu blocken. Auch wenn man in der Meldung auf Cancel klickt um die Datei nicht zu löschen.
Die Ergebnisse von anderen Scannern sind da größtenteils erbärmlich (02.01.2006 ~17h):
Wer auf Nummer sicher gehen will, sollte bis zum erscheinen eines Hotfixes die Library shimgvw.dll unregistrieren (regsvr32 -u %windir%\system32\shimgvw.dll).
Windows 9x (außer ME) und NT4 sind von dieser Art Exploit übrigens voraussichtlich nicht betroffen, sie enthalten shimgvw.dll garnicht.
Unter Windows 2000 unterstützt die Bildvorschau (shimgvw.dll 5.0.2134.1) WMF-Dateien garnicht, somit dürfte Windows 2000 ebenfalls nicht betroffen sein. (Das gilt natürlich nicht für unter Windows 2000 installierte 3rd Party Software.)
In Windows ME kann die Bildvorschau (shimgvw.dll 5.50.4134.100) zwar WMF-Dateien anzeigen, allerdings zeigte sie sich bei meinen Tests von den Dateien, die in NT 5.1 und höher Probleme verursachen unbeeindruckt. (Evtl. benötigt Windows ME aber auch eine angepasste Version des manipulierten Bildes).
Read the complete post at http://thespoke.net/blogs/countryking/archive/2005/12/29/928198.aspx