Damaschkes Daily abonnieren (RSS 2.0)
Böse Bilder
Na also – es hätte ja fast etwas gefehlt, wenn wir in den letzten Tagen des Jahres nicht noch eine aktuelle Windows-Warnmeldung bekommen hätten.
Nützliches Format …
Dieses Mal betrifft es die Anzeige von Bilddateien im WMF-Format.
WMF ist die Abkürzung für “Windows Metafile” und bezeichnet ein flexibles und leistungsfähiges Vektorgrafikformat, das für den Einsatz unter Windows optimiert ist. Entwickelt wurde es von Microsoft, um den verschiedenen Windows-Applikationen den Austausch von Bilddaten zu ermöglichen. WMF ist auch das Standardformat der Clipart-Bilder, die Microsoft seinen Office-Applikationen mit auf den Weg gibt.
Soweit, so gut.
… gefährliche Bilder
Der Haken an der Sache ist nun allerdings, dass es möglich ist, über eine WMF-Datei einen Rechner mit Schadsoftware zu infizieren.
Dabei genügt es nicht nur, eine WMF-Grafik im Internet Explorer oder im Windows Explorer zu öffnen. Die Sicherheitsexperten von Kapersky, F-Secure und Secunia berichten, dass unter Umständen schon der bloße Download einer entsprechend präparierten WMF-Datei genügt. Ja, selbst der Aufruf innerhalb einer DOS-Box schützt nicht vor Infektion.
Es wird nachdrücklich darauf hingewiesen, dass es sich hier um eine sehr reale Gefahr handelt, es sind bereits die ersten Webseiten mit manipulierten WMF-Dateien gesichtet worden.
WMF-Dateien öffnen
Wenn Sie eine WMF-Datei (etwa aus dem Clipart-Verzeichnis von Microsoft Office) mit einem Doppelklick öffnen, startet die “Windows Bild- und Faxanzeige” und öffnet die gewünschte Grafik. Sollte es sich dabei um eine speziell präparierte Datei handeln, kann der Rechner über einen Bug in diesem Anzeige-Programm infiziert werden.
Rufen Sie im Browser einen Webseite mit eingebetteter WMF-Datei auf, gibt es je nach Browser unterschiedliche Reaktionen.
- Der Internet Explorer zeigt die Grafik kurzerhand an: Hier würde eine Angriff auf den Rechner also sofort erfolgreich sein.
- Firefox 1.5 übergibt die Datei an den Windows Media Player. Der allerdings kann damit überhaupt nichts anfangen (hier handelt es sich vermutlich um einen Bug in Firefox – der dieses mal allerdings segensreich ist und eine Infektion des Rechners verhindert).
- Frühere Firefox-Versionen und Opera übergeben die Datei an die “Windows Bild- und Faxanzeige”. Anders als der Internet Explorer fragen sie allerdings nach, bevor die Datei geöffnet wird. Mit diesen Browsern ist man also zumindest ein wenig geschützt. Klickt der Anwender hier allerdings auf “OK”, nimmt das Unheil seinen Lauf.
Was tun?
Bislang ist noch nicht geklärt, wo genau der Fehler liegt und wie es möglich ist, dass eine WMF-Datei als Schadensdatei missbraucht werden kann. Ein Sicherheitspatch steht auch noch nicht zur Verfügung. Was also tun?
Zum einen sollte man, wenn irgend möglich, darauf verzichten, mit dem Internet Explorer zu surfen. Statt dessen empfiehlt sich der Einsatz einer Alternative wie Firefox oder Opera. Beide Browser sind dem IE technisch deutlich überlegen und kostenlos.
Zum anderen sollte man die Frage, ob eine WMF-Datei geöffnet werden soll, auf keinen Fall bestätigen.
Die Fachzeitschrift “c’t” empfiehlt darüberhinaus, die Dateiverknüpfung zu “WMF”-Dateien zu löschen. Doch das scheint nicht wirklich zu helfen – zumindest nicht bei den mir zur Verfügung stehenden Windows-Test-Rechnern. Das Format scheint so stark mit elementaren Windows-Funktionen verknüpft zu sein, dass Windows die fehlende Verknüpfung automatisch wieder herstellt, sobald eine WMF-Datei aufgerufen wird.
Wer auf den Einsatz des Internet Explorers nicht verzichten kann, dem empfehlen Secunia und Kapersky, die Sicherheitseinstellungen des Internet Explorers auf “Hoch” zu setzen und keine “WMF”-Dateien zu öffnen (was unter Umständen allerdings leichter gesagt als getan ist).
Der Einsatz aktueller Antivirensoftware ist obligatorisch. Derzeit sind, so Kapersky, die üblichen Viren-Datenbanken um Informationen zur Schadenssoftware ergänzt worden, die über den WMF-Bug eingeschmuggelt werden kann.
Bleibt nur zu hoffen, dass Microsoft den Fehler möglichst zügig behebt.