Microsoft Sicherheitsempfehlung zum WMF-Exploit

Microsoft empfiehlt als Schutzmaßnahme die Deaktivierung der betroffenen DLL.

Die gestern bekannt gewordene Sicherheitslücke beim Umgang mit Bilddateien im WMF-Format wird von diversen Websites aktiv ausgenutzt. Microsoft hat daher eine Sicherheitsempfehlung heraus gegeben, in der erste Maßnahmen zum Schutz vor der Ausnutzung dieser Schwachstelle beschrieben sind.

Neben Hinweisen zum sicheren Umgang mit dem Internet im Allgmeinen und dem Internet Explorer im Besonderen empfiehlt Microsoft als vorläufige Maßnahme ("Workaround") die Deregistrierung der anfälligen DLL.

Die Programmbibliothek "shimgvw.dll" gehört zur "Windows Bild- und Faxanzeige" und ermöglicht das Einschleusen von Code über speziell präparierte WMF-Dateien. Die DLL wird auch unter anderem vom Internet Explorer und älteren Firefox-Versionen (1.0.x) sowie von Opera 8.51 zur Anzeige von WMF-Dateien aufgerufen, Firefox und Opera fragen allerdings vorher nach.

Um die derzeit recht verbreiteten Exploits zu blockieren, können Sie die shimgvw.dll wie folgt deregistrieren:

1. Öffnen Sie eine Eingabeauffoderungen oder START -> Ausführen...
2. Geben Sie folgenden Befehl ein:

regsvr32 -u %windir%\system32\shimgvw.dll

3. Schließen Sie die Eingabe mit einem Klick auf [OK] oder mit der Eingabetaste ab.
4. Bestätigen Sie die darauf folgende Erfolgsmeldung mit [OK].

In der genannten Befehlszeile wird die Umgebungsvariable "%windir%" verwendet. Sie enthält das Windows-Verzeichnis (zum Beispiel C:\Windows), das auf diese Weise vom System automatisch in den Befehlsaufruf eingefügt wird. Der Nachteil der von Microsoft vorgeschlagenen Lösung ist, dass Sie nun die "Windows Bild- und Faxanzeige" nicht mehr zum Anzeigen von Bilddateien verwenden können. Bis zur Bereitstellung einer besseren Lösung ist dies jedoch eine wichtige Schutzmaßnahme.

Sie können die Funktionalität wieder herstellen, in dem Sie genau wie oben vorgehen, jedoch lautet die Befehlzeile dann:

regsvr32 %windir%\system32\shimgvw.dll

Quelle