Für die am bei Microsofts jüngstem Patch-Day gemeldete Sicherheitslücke in der Verarbeitung von WMF- und EMF-Dateien ist ein Exploit aufgetaucht. Wie schon bei den Exploit-Programmen für die JPEG-Lücke baut das Programm ein vorhandes Bild so um, dass die Ansicht mit verwundbaren Applikationen einen Buffer Overflow provoziert, über den sich Code einschleusen und ausführen lässt.
Bei einem ersten Test in der Redaktion von heise Security führte ein derart präpariertes EMF-Bild aber nur zum Absturz des Windows Explorer, sobald man ein Verzeichnis öffnete, in dem das Bild gespeichert war. Ob der Exploit nur für bestimmte Windows-Versionen funktioniert, müssen weitere Tests zeigen, eventuell enthält auch der Quellcode mit Absicht noch Funktionssperren.
Obwohl EMF insbesondere bei Privatnutzern ein relativ ungebräuchliches Format ist und auch auf Webseiten im Browser nicht angezeigt wird, sollten Anwender den von Microsoft zur Verfügung gestellten Patch (
http://www.microsoft.com/germany/technet/servicedesk/bulletin/ms04-032.mspx ) einspielen. Immerhin können präparierte Bilder auch per Datenträger oder E-Mail den Weg auf die Festplatte finden.
Siehe dazu auch:
EMF-Exploit auf K-otik :
http://www.k-otik.com/exploits/20041020.HOD-ms04032-emf-expl2.c.phpQuelle :
www.heise.de
