Nieuw lek in XPSP2 via WMF files

Verwijderd schreef op dinsdag 03 januari 2006 @ 13:18:
[...]

jij hebt liever een patch die niet getest is en die meer schade veroorzaakt dan dat ie oplost?

Nee, ik wil gewoon dat ze bij MS een patch uitbrengen, desnoods tijdelijk, die de SETABORT functie disabled. Ilfak Guilfanov heeft aangetoond dat zo'n patch er binnen een dag kan zijn en het argument dat ze gebruiken ("Microsoft’s intelligence sources indicate that the scope of the attacks are not widespread.") om het niet versneld te doen vind ik nogal zwak. Het is wel degelijk een weidverbreid probleem, elk OS wat MS heeft uitgebracht vanaf 1980 is vulnerable en er zijn wel degelijk tools die misbruik maken van het lek. Derhalve vind ik wachten tot de 10e onverantwoord. We draaien hier nu in een bedrijfsomgeving met de Ilfak patch en we ondervinden geen problemen, desnoods breng je als MS die patch alleen in het Engels uit en de-installeer je dat ding op de 10e weer.

een tijdelijke patch? Da's misschien handig voor thuisgebruikers maar voor grote organisaties lijkt me dat toch echt geen fijne oplossing. Eerst die tijdelijke patch testen zodat je zeker weet dat je applicaties goed blijven werken en vervolgens een week later nog een keertje hetzelfde doen met met de `final' patch? Da's dubbel werk en kost klauwen met geld.

Jazzy schreef op dinsdag 03 januari 2006 @ 07:40:
[...]
Dat begreep ik ook, daarom neem ik ook geen risico door simpelweg WMF-bestanden te blokken op de proxy en mailserver. Dat wil zeggen, ik weet dus dat ik daar niet op kan vertrouwen.

Maar omdat in Verwijderd in "Nieuw lek in XPSP2 via WMF files" het tegendeel wordt beweerd wil ik dit maar even in het midden laten. Ik zal eerst die MS advisory eens bestuderen.

Edit: bestudeerd. De conclusie in het bericht van SecondChoice lijkt niet te kloppen. Sterker nog, er staat expliciet dat de inhoud van een bestand op meer manieren wordt bepaald dan alleen de extensie.
[...]

Dan post ik het maar voor de derde keer... ik had het enkel over Internet Explorer, die sinds XP SP2 (of 2003 SP1) de hernoemde WMF-bestanden niet uit zichzelf kan openen.
http://www.microsoft.com/...intain/sp2brows.mspx#EHAA

Verwijderd schreef op dinsdag 03 januari 2006 @ 13:33:
een tijdelijke patch? Da's misschien handig voor thuisgebruikers maar voor grote organisaties lijkt me dat toch echt geen fijne oplossing. Eerst die tijdelijke patch testen zodat je zeker weet dat je applicaties goed blijven werken en vervolgens een week later nog een keertje hetzelfde doen met met de `final' patch? Da's dubbel werk en kost klauwen met geld.

Dit kost veel meer geld. We hebben hier 2 dagen geen betalingen kunnen doen omdat we niet zeker wisten of er niet wat op de systemen mis was. Uiteindelijk hebben we maar besloten om niet te wachten op MS en de Ilfak te installeren. Volgens mij missen ze (of jullie, maar dat is niet reeel omdat jij niet daaraan werkt) compleet de ernst van de situatie. Er zit een gat in je OS waardoor elke willekeurige keylogger geinstalleerd kan worden, zonder dat je weet dat ie er is, en wat erger is, compleet valide sites hebben een tijdje die plaatjes aangeboden. Dus het argument: "dan moet je maar niet op cracksites e.d. komen" gaat in dit geval niet op.
Ik ben de eerste die toegeeft dat 2x een patch uitbrengen onhandig is, maar op een moment als dit snap ik werkelijk waar niet waarom de hele security-wereld op zijn achterste benen staat en MS durft zonder blikken of blozen te zeggen dat "het wel meevalt".

Okay, duidelijk. Daar had ik overheen gelezen.

Maar het blijft dus zo dat je niet kunt vertrouwen op extensies. Zelfs tijdens het werken in een DOS box kun je besmet raken. Bijvoorbeeld door met WGET een besmet plaatje binnen te halen op je harddisk waarna de indexing van Google of MSN desktopsearch hem vrolijk aanraakt.

Waarom niet de workaround toegepast (regsvr32 -u %windir%\system32\shimgvw.dll) ipv een gehackte dll installeren waarvan je niet weet wat voor impact die precies heeft?

_{en ik ben het met je eens dat `het valt wel mee' nou niet echt goed verwoord is gezien de exploits die er zijn}

[ Voor 28% gewijzigd door Verwijderd op 03-01-2006 13:55 ]

Als je een DLL kan registreren, heb je al toegang tot het systeem, waarom zou je dan nog *weer* een exploit gebruiken die geen user privs escaleert?

elevator schreef op dinsdag 03 januari 2006 @ 14:05:
Als je een DLL kan registreren, heb je al toegang tot het systeem, waarom zou je dan nog *weer* een exploit gebruiken die geen user privs escaleert?

Omdat het hele idee juist is dat de samenwerking van het lek + andere exploits er voor zorgt dat het zo urgent is nu. Daarom valt iedereen (terecht imho) nu over MS heen.

als je niet als administrator inlogt, zou je ook niet in staat moeten zijn om die dll weer te registeren
http://support.microsoft....aspx?scid=kb;EN-US;827659

Zwerver schreef op dinsdag 03 januari 2006 @ 14:07:
Omdat het hele idee juist is dat de samenwerking van het lek + andere exploits er voor zorgt dat het zo urgent is nu. Daarom valt iedereen (terecht imho) nu over MS heen.

Nee - denk nou eens helder na

Als jij op een PC code kan uitvoeren (== registreren van een DLL) - wat win je er dan mee als je via die WMF ook nog code kan uitvoeren ?

Die WMF exploit escaleert niet je privileges - je blijft gewoon user. Oftewel - je kan code uitvoeren (=DLL registreren), en wat je daarmee wint is dat je code kan uitvoeren ... Nuttig?

Dan heb jij een slechte virusscanner:

Verwijderd schreef op dinsdag 03 januari 2006 @ 00:12:
[...]

Norton Antivirus 2005 herkent de betreffende exploit hier prima, in het andere geval wordt het aangeduid als BloodHound.Exploit xx.

Waarschijnlijk zijn er wel meer exploits en komen er nog meer ook. Bovendien loopt een virusscanner altijd achter. Alleen de ene wat meer dan de andere . Symantec (Norton) komt trouwens nooit zo fantastisch snel met updates. Als ik mij niet vergis was er laatst nog een test hiervan op tweakers.net frontpage.

Ik zou even moeten zoeken, maar er staat toch echt ergens een referentie dat je met de WMF-bug meer permissies kan krijgen dan de gewone user. Ik heb alleen de afgelopen twee dagen zo enorm veel info erover gelezen dat ik niet kan terug vinden waar het stond....

Overigens is er nog een goede reden om die noodoplossing niet helemaal te vertrouwen

We want to be very clear on this: we have some very stong indications that simply unregistering the shimgvw.dll isn't always successful. The .dll can be re-registered by malicious processes or other installations, and there may be issues where re-registering the .dll on a running system that has had an exploit run against it allowing the exploit to succeed. In addition it might be possible for there to be other avenues of attack against the Escape() function in gdi32.dll.

Dus je kan tot en met de 10e dus niks installeren want stel je voor dat die dll weer enabled wordt; dan zou je dus en weer besmet kunnen worden, en als je een WMF-file hebt staan merk je het niet eens....

[ Voor 61% gewijzigd door Zwerver op 03-01-2006 14:25 ]

Dat is juist het fijne van de Symantec BloodHound-techniek, het kan onbekende malware dat virusachtige activiteiten wil uitvoeren al tegenhouden, nog voor er antivirusdefinities voor geschreven of gedownload zijn. Stond dat niet bij het artikel

Als je echter een virusscanner zoals die van Zwerver hebt (of zelfs geen), en nog steeds met IE surft zonder enige voorzorgsmaatregelen te treffen, installeer dan zo gauw mogelijk die onofficiële patch

Hoe zit het nu trouwens met Windows versies ouder dan XP / 2k3? Ik hoor daar wisselende berichten over. Op Webwereld wordt bijvoorbeeld gemeld dat oudere versies niet vulnerable zouden zijn, terwijl de tech-data die ik op andere locaties lees impliceren dat dat wel zo zou zijn.
Daarnaast lijkt het zo te zijn dat de exploit in de WMF-viewer 'by design' is...

nogmaals, als je geen admin bent zou dat niet moeten kunnen. Verder staat er in de MS advisory het volgende:

An attacker who successfully exploited this vulnerability could only gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Software updates / Hitman Pro 2.3.3

Nieuw in Hitman Pro 2.3.3

* Added Hotfix concerning the WMF vulnerability. The hotfix is created by Ilfak Guilfanov. Untill Hitman detects an official patch from Microsoft, this hotfix is automatically installed. To undo this fix simply uncheck the corresponding checkbox on the Protection tab (Hitman Pro Configuration).

^^ Hulde

ralpje schreef op dinsdag 03 januari 2006 @ 14:26:
Daarnaast lijkt het zo te zijn dat de exploit in de WMF-viewer 'by design' is...

Dat schreef ik gisteren al, daarom is het ook zo lastig om een goede en definitieve patch te schrijven. Je gaat hoe dan ook een stuk functionaliteit stuk maken.

ralpje schreef op dinsdag 03 januari 2006 @ 14:26:
Hoe zit het nu trouwens met Windows versies ouder dan XP / 2k3? Ik hoor daar wisselende berichten over. Op Webwereld wordt bijvoorbeeld gemeld dat oudere versies niet vulnerable zouden zijn, terwijl de tech-data die ik op andere locaties lees impliceren dat dat wel zo zou zijn.
Daarnaast lijkt het zo te zijn dat de exploit in de WMF-viewer 'by design' is...

Webwereld artikel 39111 heeft het juist:
Windows 9x en ME (alle versies) zijn niet kwetsbaar,
Windows NT4 en 2000 (alle versies) zijn kwetsbaar als je zelf een graphics viewer hebt geïnstalleerd,
Windows XP en Server 2003 (alle versies) zijn kwetsbaar door de Windows-viewer,

Zwerver schreef op dinsdag 03 januari 2006 @ 14:21:
Ik zou even moeten zoeken, maar er staat toch echt ergens een referentie dat je met de WMF-bug meer permissies kan krijgen dan de gewone user.

Dat lijkt me sterk - je kan praktisch gezien maar op een manier meer rechten krijgen en dat is door een exploit te hebben voor een process dat met hogere privileges draait (kernel danwel services onder alternatieve credentials) - als je bedenkt dat het om het simpelweg renderen van een image gaat, mag je er van uit gaan dat dat niet in kernel mode door een driver oid gebeurt, en dat het ook niet door een service gebeurt.

Mij lijkt het dus zeer onlogisch dat het privileges zou kunnen escalaten - als je dan ook bv. nog F-Secure's blog er op naleest zie je dat die dit ook niet vermelden. Ik kan me overigens wel voorstellen dat als een desktop indexing applicatie (eg: een google desktop) als service draait, en een WMF probeert te renderen dat het dan mis gaat

Overigens is er nog een goede reden om die noodoplossing niet helemaal te vertrouwen

De 'oplossing' is iig verre van ideaal - maar dat is geen reden om meer paniek te creeren dan per se nodig

The .dll can be re-registered by malicious processes or other installations, and there may be issues where re-registering the .dll on a running system that has had an exploit run against it allowing the exploit to succeed. In addition it might be possible for there to be other avenues of attack against the Escape() function in gdi32.dll.

Probeer eens een Everyone:Deny acl op die dll te zetten - ik gok dat dat geen nadelige gevolgen heeft voor je Windows installatie, en dan weet je iig dat niemand meer die DLL gaat registreren

Verwijderd schreef op dinsdag 03 januari 2006 @ 14:32:
[...]

Webwereld artikel 39111 heeft het juist:
Windows 9x en ME (alle versies) zijn niet kwetsbaar,
Windows NT4 en 2000 (alle versies) zijn kwetsbaar als je zelf een graphics viewer hebt geïnstalleerd,
Windows XP en Server 2003 (alle versies) zijn kwetsbaar door de Windows-viewer,

Oké, dan ben ik blij dat ik net bij onze omroep ook maar ff alle Win2k workstations heb gepatcht, aangezien die allemaal wel IrfanView draaien volgens mij.

Jazzy schreef op dinsdag 03 januari 2006 @ 14:31:
[...]
Dat schreef ik gisteren al, daarom is het ook zo lastig om een goede en definitieve patch te schrijven. Je gaat hoe dan ook een stuk functionaliteit stuk maken.

Oké, sorry, overheen gelezen

quote: http://www.viruslist.com/en/weblog

Some people run under a limited user account (which among other things restricts NTFS rights). This may make people feel that they are protected from malware. In this case, nothing could be much further from the truth.

The attackers seem very well aware of this fact and have already released malware which will be downloaded and executed in a directory where a limited user has execution rights.

Maar inderdaad, deny everyone zou dan wel afdoende moeten zijn. Zonder deny everything en met alleen leesrechten kan je dat ding met een script naar een fatschijf ( = geen rechten) kopieren, daar een .local gebruiken om de dll daar te gebruiken en voila. Vraag is dan alleen of je dan met enkel gebruikersrechten meer rechten kunt verkrijgen met deze exploit.

Zoals ele zegt: als je eenmaal toch al dat ding kunt registreren ben je al heel ver in het systeem. Dan kan je beter meteen een eigen dll met meer functionaliteiten registreren.

[ Voor 9% gewijzigd door F_J_K op 03-01-2006 20:45 ]

Btw, je mag het zelf uitproberen (in Virtual PC welteverstaan, zo doe ik het ook altijd ), MS Paint is niet kwetsbaar voor deze exploit. Hoe halen ze er dan bij dat Windows 3.0 vulnerable is...

En dan nog even wat belangrijk nieuws tussendoor

Microsoft has completed development of the security update for the vulnerability. The security update is now being localized and tested to ensure quality and application compatibility. Microsoft’s goal is to release the update on Tuesday, January 10, 2006, as part of its monthly release of security bulletins. This release is predicated on successful completion of quality testing.

7 dagen laten wachten. Dat is toch niet normaal met zo'n kritiek lek? Kunnen ze hier niet een uitzondering voor maken?

Vind het niet verstandig..ook al is het ingeburgerd ... worden gigantisch veel PC's besmet en MS besluit maar even om nog een week te wachten. Gezellig

Hm. Een week om erachter te komen hoe je een buffer overflow voorkomt, en een week om erachter te komen of het overal goed werkt (en het gaat toch wel ergens fout..met heel veel patches zo..MS of linux..je kan toch niet alles testen)

[ Voor 80% gewijzigd door Glashelder op 03-01-2006 15:24 ]

Blijkbaar is hun Patch Tuesday zo goed ingeburgerd dat men liever geen uitzondering wil maken

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:19:
Blijkbaar is hun Patch Tuesday zo goed ingeburgerd dat men liever geen uitzondering wil maken

En ik vind het wel heeeeel fijn dat ze eerst grondig op alle soorten systemen testen...

De test geeft aan dat deze 98se bak "not vulnerable" is.
http://www.hexblog.com/se...s/wmf_checker_hexblog.exe

En de testfile van deze site wordt netjes door AV opgevangen (nod32)
http://kyeu.info/WMF/

Ook al staat er: Files pose NO harm at all...op eigen risico !

(Link naar de site tegen gekomen in nieuws: SANS roept op onofficiële patch te installeren? & http://www.wilderssecurit...hread.php?t=113132&page=2)

98 is wel vulnerable, alleen die checker is niet voor 98 geschikt. Dat is tenminste wat ik her en der destileer uit verhalen.

Er is alleen voor 98 geen (tijdelijke) oplossing!

[ Voor 20% gewijzigd door paella op 03-01-2006 15:32 ]

Zucht...
Sommige mensen hier willen het gewoon niet begrijpen.
Windows 9x (95, 98, 98SE) en ME zijn niet kwetsbaar.
Heb jij überhaupt enige tests op 98 gedaan voordat je begon te schreeuwen, paella?

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:34:
Zucht...
Sommige mensen hier willen het gewoon niet begrijpen.
Windows 9x (95, 98, 98SE) en ME zijn niet kwetsbaar.
Heb jij überhaupt enige tests op 98 gedaan voordat je begon te schreeuwen, paella?

9x etc is WEL kwetsbaar, alleen de huidige exploits zijn allemaal voor XP,2k, etc... Beetje literatuur onderzoek doet ook wonderen SecondChoice...

(of om F-Secure te quoten:

the vulnerability is there on all platforms but it seems that only Windows XP and 2003 are easily exploitable.)

[ Voor 13% gewijzigd door paella op 03-01-2006 15:42 ]

Oke..dus over het hele web wordt gemeld dat het lek in alle Windows versies zit vanaf Windows 3.0, en jij staat te verkondigen dat dat niet zo is?

Volgens Microsoft is:

Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

ook kwetsbaar.

Mag toch wel aannemen dat MS weet wat ze zeggen?

9x/ME/2K zijn idd wel kwetsbaar, hoewel niet zo vulnerable als XP/2K3. Zie ook deze post op de F-Secure blog.

paella schreef op dinsdag 03 januari 2006 @ 15:39:
[...]


9x etc is WEL kwetsbaar, alleen de huidige exploits zijn allemaal voor XP,2k, etc... Beetje literatuur onderzoek doet ook wonderen SecondChoice...

Je zegt het zelf, op dit moment is er geen enkel gevaar voor gebruikers van die Windows-versies

Uiteraard zijn er wel meerdere kwetsbaarheden waarvoor nog geen exploits zijn, maar loop je dan echt gevaar?

[ Voor 17% gewijzigd door Verwijderd op 03-01-2006 15:44 ]

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:34:
Zucht...
Sommige mensen hier willen het gewoon niet begrijpen.
Windows 9x (95, 98, 98SE) en ME zijn niet kwetsbaar.
Heb jij überhaupt enige tests op 98 gedaan voordat je begon te schreeuwen, paella?

De fout zit OOK in 9x en ME, alleen is er geen viewer aanwezig. Dit maakt het systeem echter nog steeds wel vulnerable

all versions of Windows back to 3.0 have the vulnerability in GDI32. Except for Windows XP and Windows Server 2003, no Windows versions, in their default configuration, have a default association for WMF files, and none of their Paint programs or any other standard programs installed with them can read WMF file

dus ik denk dat jij even achterover moet leunen en diep adem moet halen

Verwijderd schreef op dinsdag 03 januari 2006 @ 14:25:
Dat is juist het fijne van de Symantec BloodHound-techniek, het kan onbekende malware dat virusachtige activiteiten wil uitvoeren al tegenhouden, nog voor er antivirusdefinities voor geschreven of gedownload zijn. Stond dat niet bij het artikel

Als je echter een virusscanner zoals die van Zwerver hebt (of zelfs geen), en nog steeds met IE surft zonder enige voorzorgsmaatregelen te treffen, installeer dan zo gauw mogelijk die onofficiële patch

Ook Symantec pakt onze test niet hoor De bug wordt n.l. niet gedectecteerd maar bepaalde heuristics in een bestand. Daar is heel makkelijk omheen te proggen als je een beetje C kan.

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:43:
[...]

Je zegt het zelf, op dit moment is er geen enkel gevaar voor gebruikers van die Windows-versies

Uiteraard zijn er wel meerdere kwetsbaarheden waarvoor nog geen exploits zijn, maar loop je dan echt gevaar?

Dat er nog geen exploits door antivirus bedrijven of beveiligingsbedrijven aangetroffen zijn, betekent niet dat ze er niet zijn.

Bovendien is het lek aanwezig, dus lopen ze per defenitie gevaar. Dat er zogenaamd nog geen exploits zijn zegt niets.

Zwerver schreef op dinsdag 03 januari 2006 @ 15:45:
[...]


De fout zit OOK in 9x en ME, alleen is er geen viewer aanwezig. Dit maakt het systeem echter nog steeds wel vulnerable

Dan heb jij het dus zelf ook niet geprobeerd, installeer maar eens IrfanView of XnView, surf maar even naar een website met zo'n WMF-exploits en uiteindelijk zal er helemaal... niets gebeuren.
Het overige heb ik volgens mij al genoeg beantwoord in dit topic, ik heb geen zin meer om mij hier nog enkele keren te liggen quoten.

Eén ding toch, geef mij maar eens één manier om Windows 3.0 te infecteren door middel van deze exploit.

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:43:
[...]

Je zegt het zelf, op dit moment is er geen enkel gevaar voor gebruikers van die Windows-versies

Uiteraard zijn er wel meerdere kwetsbaarheden waarvoor nog geen exploits zijn, maar loop je dan echt gevaar?

Nu moet je niet het verhaal omdraaien, je zegt net letterlijk dat ze niet kwetsbaar zijn, dat zijn ze dus wel. Het is natuurlijk wachten op de eerste exploit voor 98

Maverick schreef op dinsdag 03 januari 2006 @ 15:51:
[...]


Het is natuurlijk wachten op de eerste exploit voor 98

Dan is dat een andere vulnerability binnen die Windows-versie, en dat heeft dan helemaal niets met de huidige WMF-exploit te maken (voor NT, 2K enz.)

[ Voor 3% gewijzigd door Verwijderd op 03-01-2006 15:54 ]

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:49:

Misschien omdat die exploits voor XP/2003 gemaakt zijn

Glashelder schreef op dinsdag 03 januari 2006 @ 15:54:
[...]

Misschien omdat die exploits voor XP/2003 gemaakt zijn

Zie reply hierboven

Naja ik zal je wel niet volgen. Het blijft voor mij dezelfe kwetsbaarheid. Ik heb helemaal niet gezegd dat 98 reageert op deze exploit, alleen wel als er een exploit geschreven wordt (want de kwetsbaarheid is er, dus de mogelijkheid om deze te misbruiken ook).

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:53:
[...]

Dan is dat een andere vulnerability binnen die Windows-versie, en dat heeft dan helemaal niets met de huidige WMF-exploit te maken (voor NT, 2K enz.)

Er is niet zoiets als

de huidige WMF-exploit

Er zijn momenteel een aantal exploits voor 1 en dezelfde vulnerability, die inderdaad in al die versies van Windows zit. Een enkele exploit wordt ontdekt door Symantec Antivirus, anderen weer niet.

Edit: je kunt wel iedere keer met een smiley verwijzen naar een eerder antwoord maaar je zit er echt naast.

[ Voor 10% gewijzigd door Jazzy op 03-01-2006 15:59 ]

Ik snap echt het probleem niet, de huidige WMF-exploit komt onder licht verschillende vormen voor, en is niet schadelijk voor oudere Windows-versies die niet op NT gebaseerd zijn.
Wil je dan absoluut een nieuwe exploit in Windows 9x ontdekken die hetzelfde kan? Geen probleem hoor, maar dat zal niet dezelfde exploit zijn als degene voor Windows NT geschreven.

Wij hebben het over kwetsbaarheden. Voor 2003/XP is er de exploit, voor <98 nog niet. Dan is die wel kwetsbaar en ben je dus ook niet veilig.

edit: je wilt het gewoon niet begrijpen volgens mij wat ik bedoel Never mind..

[ Voor 25% gewijzigd door Glashelder op 03-01-2006 16:16 ]

Elk OS bevat exploitable kwetsbaarheden, of ze nu al ontdekt, gedicht of misbruikt werden of niet.
Natuurlijk ben je dan ook niet veilig met die oudere windows-versies
Ik vind dit trouwens behoorlijk off-topic gaan.
edit: ik heb reeds gereageerd dus ga ik mijn reply niet wijzigen

edit2: had dit artikel het dan ook fout misschien? Blijkbaar ben ik niet de enige die er zo over denkt.

[ Voor 51% gewijzigd door Verwijderd op 03-01-2006 16:25 ]

Rare vraag misschien, maar.. helpt die hotfix ook als je al zo'n virus hebt opgelopen (denkt het niet, maarja)

[ Voor 16% gewijzigd door Bhai op 03-01-2006 16:54 ]

Maar ik weet dus niet of ik wel besmet ben. Is er een manier om daar achter te komen?

Verwijderd schreef op dinsdag 03 januari 2006 @ 16:08:
edit2: had dit artikel het dan ook fout misschien? Blijkbaar ben ik niet de enige die er zo over denkt.

Het gaat er bij mij niet in dat iDEFENSE het beter weet dan Microsoft zelf.

Bhai schreef op dinsdag 03 januari 2006 @ 17:19:
Maar ik weet dus niet of ik wel besmet ben. Is er een manier om daar achter te komen?

Is sterk afhankelijk van het virus dat je hebt, het beste is dan om je virusscanner te laten draaien of een gratis online scan te doen.

Ik heb Kaspersky gedraaid en hij heeft niks gevonden.
Maar ik heb paar berichten terug gelezen dat iem. een waarschuwing kreeg van z'n virusscanner dat er een virus gevonden was en dat het in de temporary files stond. Dit is dus ook gisteren bij mij gebeurd met Kaspersky, terwijl het nooit eerder is gebeurd. Vandaar dat ik een beetje bang ben

_{PS: Ben dom geweest om de backup van Kaspersky te legen, en kan dus nu niet meer zien welke virus het was}

Heeft iemand een mirror staan van wmffix_hexblog13.exe toevallig?
Hexblog ligt er schijnbaar uit..

endless schreef op dinsdag 03 januari 2006 @ 19:53:
Heeft iemand een mirror staan van wmffix_hexblog13.exe toevallig?
Hexblog ligt er schijnbaar uit..

In het artikel op de frontpage staat een mirror: http://home.planet.nl/~fisch040/wmffix_hexblog13.exe

Mocht die straks down zijn, heb ik hem ook maar even gemirrored: http://www.xs4all.nl/~jurgenjw/zooi/wmffix_hexblog13.exe

[ Voor 17% gewijzigd door wildhagen op 03-01-2006 19:57 ]

Verwijderd schreef op dinsdag 03 januari 2006 @ 17:40:
[...]

Is sterk afhankelijk van het virus dat je hebt, het beste is dan om je virusscanner te laten draaien of een gratis online scan te doen.

Zullen we even een duidelijk verschil aanbrengen?

De bug/feature/whatever
Door een feature in de afhandeling van WMF-images (noodzakelijk in Windows 3.0/3.11) is er een gat ontstaan waardoor er code uitgevoerd kan worden als een WMF-file bekeken, geindexeerd of op een andere manier benaderd wordt.
Deze bug kan je oplossen op twee manieren:

De MS manier
Unregister shimgvw.dll (regsvr32 -u %windir%\system32\shimgvw.dll) waardoor de Fax/Image-viewer niet meer uitgevoerd wordt. Daarnaast moeten de instellingen van IE op high gezet worden, samen met nog wat andere aanpassingen.

De Ilfak manier
Installeer een niet van MS afkomstige patch (http://handlers.sans.org/tliston/wmffix_hexblog14.exe) waardoor de Escape() functie wordt gepatched.

O.a. http://isc.sans.org geven aan dat de beste manier is om beide te doen

Exploits/virussen e.d
Door deze bug is het mogelijk om exploits, virussen e.d. op je systeem te krijgen. Het grootste deel wordt nog niet door de virusscanners opgepakt, waardoor het risico tot op heden erg groot is. Hier is dus in praktische zin weinig aan te doen, ondanks dat anti-virusfabrikanten erg hard hun best doen om de definities up2date te houden. Ook zogenaamde bloodhount scanners (zoals McAfee, Symantec en KAV ze gebruiken) vinden niet alle virussen op dit moment.

Wat betekend dit concreet
Concreet betekend het dat je op dit moment weinig kan doen om jezelf te beschermen, behalve er voor zorgen dat er geen WMF-bestanden geopend kunnen worden. Het nadeel hiervan is dat ook WMF-bestanden die als jpg, gif, png e.d. geopend worden in IE op je harde schijf terecht komen. Een indexer als bijv. google-desktop kan zo'n bestand dan alsnog executeren en de onderliggende code aanroepen.

Voor meer informatie raad ik aan om http://isc.sans.org , http://www.securityfocus.com e.a. sites over security goed in de gaten te houden.

Allemaal goed en wel, maar wat zou jij hem nu aanraden nu zijn pc gehackt geïnfecteerd binnengedrongen met de een WMF-exploit werd en voor hem patches dus al te laat zijn?

In de uitzending van Tros Radio Online geeft Schouw een toelichting op de MSN versie van de WMF exploit. Tevens geeft hij aan dat Kaspersky de auteur mogelijk heeft geïdentificeerd. De uitzending is binnenkort op de genoemde site te downloaden.

Verwijderd schreef op dinsdag 03 januari 2006 @ 20:14:
Allemaal goed en wel, maar wat zou jij hem nu aanraden nu zijn pc gehackt geïnfecteerd binnengedrongen met de een WMF-exploit werd en voor hem patches dus al te laat zijn?

Dan moet je eerst weten welke exploit het is en wat die doet. Pas dan weet je hoe je hem onschadelijk kunt maken.

Gewoon hetzelfde als met ieder virus, maakt niet uit van welke exploits gebruik wordt gemaakt om binnen te komen.

Verwijderd schreef op dinsdag 03 januari 2006 @ 20:14:
Allemaal goed en wel, maar wat zou jij hem nu aanraden nu zijn pc gehackt geïnfecteerd binnengedrongen met de een WMF-exploit werd en voor hem patches dus al te laat zijn?

Een herinstallatie. En dan wel die patch eroverheen halen. Misschien dat morgen zijn virusscanner dat ding vindt, misschien niet, maar veilig is die machine nu niet meer (helemaal als KAV al iets gevonden had....)

Overigens geldt dit alleen als hij zeker weet dat hij een exploit heeft, maar niet weet welke EN dat hij weet dat het met WMF temaken heeft

[ Voor 13% gewijzigd door Zwerver op 03-01-2006 20:27 ]

An official fix for the worrisome Windows Meta File vulnerability is in the works, Microsoft said on Tuesday in an updated security advisory.

The flaw in Windows Meta File (WMF) concerned many security experts over the holidays because the vulnerability can be exploited by displaying images in Internet Explorer from a malicious Web site. The Mozilla Corporation's Firefox browser does not immediately run code but reportedly asks permission to display the malicious images.

The flaw, which affects all versions of Windows but the recent versions of the operating system most seriously, will have an official patch in a week, said Microsoft in the advisory. The software giant has verified its update works, but needs to more fully test the software. The company does not believe that attacks using the exploit are all that widespread.

"Microsoft has been carefully monitoring the attempted exploitation of the WMF vulnerability since it became public last week, through its own forensic capabilities and through partnerships within the industry and law enforcement," the software giant said in the updated advisory. "Although the issue is serious and malicious attacks are being attempted, Microsoft’s intelligence sources indicate that the scope of the attacks are not widespread."

Security experts have recommended that users download an unofficial patch created by a security software developer.

Ik zet voor de zekerheid automatisch updates downloaden en installeren maar ff uit. Het kan toch zijn dat het raar kan doen ivm die patch?

PS: v14 van de patch kun je hier download:
http://rapidshare.de/file...wmffix_hexblog14.exe.html

Opvallend is - imho - dat hoewel Windows 2000 officieel geen groot risico loopt, dat Office 2003 de WMF extensie registreert met hun image viewer waardoor die PC's op dat moment ook vulnerable is

Bhai schreef op dinsdag 03 januari 2006 @ 20:30:
[...]
Ik zet voor de zekerheid automatisch updates downloaden en installeren maar ff uit. Het kan toch zijn dat het raar kan doen ivm die patch?

Zolang je maar de automatische updates maar weer aan hebt gezet voordat er nog eens patches uitkomen, wellicht 10 januari dus.

elevator schreef op dinsdag 03 januari 2006 @ 21:48:
Opvallend is - imho - dat hoewel Windows 2000 officieel geen groot risico loopt, dat Office 2003 de WMF extensie registreert met hun image viewer waardoor die PC's op dat moment ook vulnerable is

Van IrfanView en XnView was ik al zeker, je bedoelt dan waarschijnlijk de Microsoft Office 2003 Picture Manager?

Verwijderd schreef op dinsdag 03 januari 2006 @ 21:54:
[...]

Zolang je maar de automatische updates maar weer aan hebt gezet voordat er nog eens patches uitkomen, wellicht 10 januari dus.

Ik denk dat hij bedoelt dat hij de updates uit zet tot hij zeker weet dat de officiële MS-patch bij de updates zit, dat hij dan de on-officiële patch verwijderd en de updates weer aanzet, om te voorkomen dat ze elkaar gaan bijten.

Microsoft kan met de ontwikkeling van de fix niet anders dan in overweging nemen dat er 2 scenario's zijn: computers met en computers zonder de patch van Guilfanov. Ga er maar vanuit dat dit geen probleem zal zijn.

Hoewel ik het een nogal lomp lek vind en het totaal niet in het trustworthy initiatief van MS vind passen snap ik de big deal niet.

Op welke manier is het WMF lek anders dan een nieuw en onbekend virus of onherkenbare variant? Ik snap dat het probleem is dat je met het bekijken van een webpagina geinfecteerd kan raken. Maar voor zover ik heb gelezen is het enige wat de exploit code doet bekende backdoors etc. ophalen. En deze worden natuurlijk door je virusscanner herkend en verwijderd. Vrijwel alle virusscanners hebben mechanieken om te voorkomen dat ze gekilled worden. (Dynamische procesnaam o.a.) Dus op die manier kunnen er ook geen onderdelen opgehaald worden. Als laatste zijn er al een aantal fabrikanten die nu vrijwel alle image extensies scannen en de exploit code herkennen.

Als je je systemen gewoon up to date houdt en een goede recente virusscanner installeerd zou je volgens mij "veilig" moeten zijn. Of zie ik dit verkeerd?

Ik zal de MS patch wanneer deze uitkomt meteen gaan uitrollen via de geeigende methodes maar ik zie nog geen reden om de 3rd party patch uit te rollen.

Niet alleen WMF bestanden blokkeren/scannen/etc, de code kan ook opgenomen worden in files met andere bestandsextensies!

[ Voor 8% gewijzigd door Verwijderd op 04-01-2006 10:55 ]

Verwijderd schreef op woensdag 04 januari 2006 @ 09:46:


Als je je systemen gewoon up to date houdt en een goede recente virusscanner installeerd zou je volgens mij "veilig" moeten zijn. Of zie ik dit verkeerd?

Dat zie je verkeerd. Zoals je kan lezen op verschillende sites is het voor virusscannerfabrikanten een hele klus om uberhaupt bij te houden welke nieuwe virussen en trojans er nu zijn bijgekomen die gebruik maken van de WMF-bug om zich te verspreiden.
Als je uitgaat van een gemiddelde tijd van een halve dag om een sample om te zetten naar een definitie en deze op een pc te krijgen merk je direct waar alle herrie over gaat.

@zwerver: Niet alleen WMF bestanden blokkeren, de code kan nu ook opgenomen worden in files met andere bestandsextensies!

Waar zie je mij zeggen dat ik alleen WMF-bestanden block? Sterker nog, wij blocken niks op proxy-niveau omdat dit (imho) weinig zin heeft.

Zwerver schreef op woensdag 04 januari 2006 @ 10:36:
[...]

Dat zie je verkeerd. Zoals je kan lezen op verschillende sites is het voor virusscannerfabrikanten een hele klus om uberhaupt bij te houden welke nieuwe virussen en trojans er nu zijn bijgekomen die gebruik maken van de WMF-bug om zich te verspreiden.
Als je uitgaat van een gemiddelde tijd van een halve dag om een sample om te zetten naar een definitie en deze op een pc te krijgen merk je direct waar alle herrie over gaat.

Waar zie je mij zeggen dat ik alleen WMF-bestanden block? Sterker nog, wij blocken niks op proxy-niveau omdat dit (imho) weinig zin heeft.

Maar hoe is dit dan anders dan de varianten die van "normale" executables uitkomen? Er zijn inmiddels -tig duizend varianten van b.v. netsky en er komen nog steeds nieuwe bij.

Wat betreft WMF blokken, kan het nu niet meer vinden maar dacht dat het jouw post was. Sorry.

Verwijderd schreef op woensdag 04 januari 2006 @ 10:55:
[...]


Maar hoe is dit dan anders dan de varianten die van "normale" executables uitkomen? Er zijn inmiddels -tig duizend varianten van b.v. netsky en er komen nog steeds nieuwe bij.

Wat betreft WMF blokken, kan het nu niet meer vinden maar dacht dat het jouw post was. Sorry.

WMF is 1 van de weinige soorten bestanden die niet op extensie worden aangeroepen, maar op de inhoud (net als bij mac zeg maar). dus welke extensie ook gebruikt wordt, in principe kan het nog steeds kwaad.

Overigens is er een leaked fix van microsoft in omloop. Deze schijnt echt te zijn en de problemen ook idd op te lossen.

paella schreef op woensdag 04 januari 2006 @ 11:00:
[...]
WMF is 1 van de weinige soorten bestanden die niet op extensie worden aangeroepen, maar op de inhoud (net als bij mac zeg maar). dus welke extensie ook gebruikt wordt, in principe kan het nog steeds kwaad.

Dat is ook niet "the point".

Veel virusscanners scannen allang niet meer uitsluitend executables. Als voorbeeld neem ik Trend. Die hebben 3 modi waarin je kan scannen: Alle extensies, door de gebruiker opgegeven extensies en "Smart-scan" (Default). Smart-scan scant alle extensies die in de DAT files beschreven staan. De WMF exploit staat al enige tijd in de dat files en derhalve scant Trend de bestanden waar dit in voor kan komen.

Mocht de WMF exploit door de virusscanner genegeerd worden dan wordt de exploit actief. Tenzij er heel heftige veranderingen worden aangebracht is het eerste wat de exploit doet een bekende backdoor downloaden en trachten te starten. Dat lukt 'm gewoon niet, de virusscanner zal de backdoor herkennen en deleten/cleanen.

Voorbeeld van 1 van de varianten: (This wmf will download and execute a .vbs file which is detected as trojan-Downloader.VBS.Psyme.br which in turn will download an Sdbot. The IRCBot is detected as Backdoor.Win32.SdBot.gen)

Ja, door de bekende varianten aan te passen kan je de virusscanner omzeilen maar dit is niet anders dan met de huidige virussen.

Ik ga maar eens een gedurft standpunt innemen: hoewel het probleem nogal slordig is denk ik dat het een storm in een glas water is.

Dag 7 of 8 dat de exploit in het wild rondzwerft en kijk eens naar de poll op http://isc.sans.org/poll.php

Have you been impacted by the WMF vulnerability?
11 % =>Yes. A system in my company/household got infected
10 % =>Antivirus or other defenses blocked the exploit
78 % =>No. I have not seen an exploit yet.

Waarom dan gerenommeerde security experts adviseren om de patch te installeren en het gevoel geven dat dit de nieuwe red alert is snap ik echt niet. Secunia omschrijft het als extremely critical. Een omschrijving die ze normaliter uitsluitend geven aan remotely exploitable vulnerabilities, wat dit absoluut niet is.

[ Voor 37% gewijzigd door Verwijderd op 04-01-2006 12:19 ]

Sorry maar hier snap ik helemaal niks van. (het zal wel aan mij liggen.)
Wil iemand even rustig uitleggen wat ik moet doen met IE. Ik ben nu al met Kasperski een scan aan het runnen.

Edit: Kaspersky vraagt wachtwoord om ad-aware te openen via hitmanpro gedownload, wat is het wachtwoord??

[ Voor 23% gewijzigd door Verwijderd op 04-01-2006 12:08 ]

Overigens is er een leaked fix van microsoft in omloop. Deze schijnt echt te zijn en de problemen ook idd op te lossen.

Daar zou ik me maar verre van houden als ik jou was. Om één of andere reden kan ik me niet echt voorstellen dat er van de patchafdeling van Microsoft een versie 'lekt'.

Inmiddels is de definitieve, officiële patch van Microsoft voor deze kwetsbaarheid uitgelekt.
Het gaat enkel om de patch voor Engelstalige versies van Windows XP en Windows Server 2003.
Aangezien deze patch officieel alleen aan bedrijven met SA-licenties werd gegeven en MS nog niet klaar is met vertalingen, wacht men liever nog tot volgende week voor de patch verspreid wordt.
De patch was echter gisteravond nog op het Internet verkrijgbaar, onder de naam "WindowsXP-KB912919-x86-ENU.exe" (711 KB). Intussen is de patch bij de "oorsprong" (rapidshare) verwijderd.

[ Voor 4% gewijzigd door Verwijderd op 04-01-2006 15:19 ]

Verwijderd schreef op woensdag 04 januari 2006 @ 11:31:
[...]


Dat is ook niet "the point".

Veel virusscanners scannen allang niet meer uitsluitend executables. Als voorbeeld neem ik Trend. Die hebben 3 modi waarin je kan scannen: Alle extensies, door de gebruiker opgegeven extensies en "Smart-scan" (Default). Smart-scan scant alle extensies die in de DAT files beschreven staan. De WMF exploit staat al enige tijd in de dat files en derhalve scant Trend de bestanden waar dit in voor kan komen.

Door de ernst van de bug is het mogelijk om alles te executeren wat een exploit-schrijver wil. Zonder dat je een file download, gewoon door een plaatje te bekijken (even heel simpel geformuleerd). En het is geen exploit, het zit gewoon in Windows. Gaat jouw virusscanner nu elk WMF-plaatje blokken dan?

Mocht de WMF exploit door de virusscanner genegeerd worden dan wordt de exploit actief. Tenzij er heel heftige veranderingen worden aangebracht is het eerste wat de exploit doet een bekende backdoor downloaden en trachten te starten. Dat lukt 'm gewoon niet, de virusscanner zal de backdoor herkennen en deleten/cleanen.

Gister heb ik een virus naar KAV gestuurd dat nog niet in de DAT's stond, binnengehaald (op mijn Mac gelukkig) vanaf een valide website, zonder ergens op te klikken. Dat is het hele punt, je hoeft dus zelf niks te doen om zo'n virus binnen te halen en je virusscanner kan het niet altijd herkennen.

Ja, door de bekende varianten aan te passen kan je de virusscanner omzeilen maar dit is niet anders dan met de huidige virussen.

Die moet je zelf downloaden/aanklikken, dat hoeft dus niet met de WMF-bug.

Ik ga maar eens een gedurft standpunt innemen: hoewel het probleem nogal slordig is denk ik dat het een storm in een glas water is.
Waarom dan gerenommeerde security experts adviseren om de patch te installeren en het gevoel geven dat dit de nieuwe red alert is snap ik echt niet. Secunia omschrijft het als extremely critical. Een omschrijving die ze normaliter uitsluitend geven aan remotely exploitable vulnerabilities, wat dit absoluut niet is.

Dat is het wel! Ik kan vanaf een website een virus op je PC zetten, en al helemaal als dat virus onbekend is.

Verwijderd schreef op vrijdag 30 december 2005 @ 19:41:

[...]
Als je de viewer niet wil deïnstalleren is volgende oplossing het beste om IE af te schermen:
- Rechtsklik op Startknop en klik op Verkennen (Explore).
- Ga naar menu Extra (Tools) en klik op Mapopties (Folder Options).
- Ga naar tab Bestandstypen (File Types) en scroll onder Geregistreerde bestandstypen (Registered file types) naar het bestandstype met extensie WMF (WMF-afbeelding of WMF-file).
- Zet een vinkje voor Openen na downloaden bevestigen (Confirm open after download).
Hierdoor zal IE tenminste vooraf vragen of je het bestand wil openen of opslaan, in plaats van het meteen te openen.


Zoals in dit topic staat kan je ook de Windows-viewer voor afbeeldingen en faxen uit schakelen (alleen XP en 2003), zodat ook Windows Explorer niet meer kwetsbaar is (want zelfs als de Explorer niet in Thumbnail weergave staat, kan zo'n WMF-bestand geactiveerd worden door de Preview-functie tijdens het selecteren).
Als laatste stap kun je ook andere image viewers (zoals IrfanView en XnView) indien geïnstalleerd tijdelijk uninstallen, want die maken oudere Windows-versies (NT4 en 2000) ook kwetsbaar.

Is het slim om het vetgedrukte te doen en daarnaast ook nog het advies van MS op te volgen?

Alleen wmf files uitzetten heeft geen zin, ik kan een wmf bestand met een virus maken, die hernoemen naar schattig_bestand.doc en vervolgens wordt ie gewoon als plaatje afgebeeld. Ook het uitschakelen van de windows viewer is NIET genoeg (De bug zit in gdi32.dll, NIET in de viewer). Het enige wat helpt is de patch van http://www.hexblog.com/ installeren.

Nvidiot schreef op woensdag 04 januari 2006 @ 16:13:
Het enige wat helpt is de patch van http://www.hexblog.com/ installeren.

Of even heel goed googlen naar MS patch

Microsoft geeft toe de patch al wel te hebben gemaakt. Hij wordt momenteel getest. De patch moet in 23 talen beschikbaar zijn; aan deze vertalingen wordt nog gewerkt.

Komt van http://www.zdnet.nl/news.cfm?id=52416

[ Voor 45% gewijzigd door Verwijderd op 04-01-2006 16:18 ]

Verwijderd schreef op woensdag 04 januari 2006 @ 16:16:
[...]

Of even heel goed googlen naar MS patch


[...]

Komt van http://www.zdnet.nl/news.cfm?id=52416

Wat is het nut in deze dan van een vertaling .

Zwerver schreef op woensdag 04 januari 2006 @ 16:03:
Dat is het wel! Ik kan vanaf een website een virus op je PC zetten, en al helemaal als dat virus onbekend is.

Het is niet anders dan met een vergelijkbaar javascript, vbscript, whatever. Alleen als ik een mail lees of een site bezoek die geinfecteerd is met het virus kan ik geinfecteerd raken. Het is niet dat dit een remotely exploitable lek is.

De reden dat ik me weinig zorgen maak is dat er maar een beperkte hoeveelheid code in de WMF staat welke net als elk ander lame virus een aantal bekende backdoors ophaalt. Zoals ik al aangaf worden deze backdoors gewoon afgevangen door je virusscanner.

Ik kan het natuurlijk fouthebben, maar ik denk dat het allemaal heel erg mee gaat vallen.

Webwereld:
Niet iedereen is echter zo bezorgd. Russ Cooper, redacteur bij de NTBugtraq-mailinglijst en onderzoeker bij Cybertrust, verwacht niet dat het zo'n vaart zal lopen. "Wat ons betreft wordt de dreiging flink overdreven. Het wmf-lek zal niet massaal worden misbruikt."

[ Voor 16% gewijzigd door Verwijderd op 04-01-2006 17:00 ]

Google desktop search geinstalleerd? Als je een fout wmf'je hebt en google desktop search indexeert 'm heb je 'm al te pakken... Of een reclame server die gehacked wordt (Dat is al eens gebeurd met spyware)

Verwijderd schreef op woensdag 04 januari 2006 @ 16:52:
De reden dat ik me weinig zorgen maak is dat er maar een beperkte hoeveelheid code in de WMF staat welke net als elk ander lame virus een aantal bekende backdoors ophaalt. Zoals ik al aangaf worden deze backdoors gewoon afgevangen door je virusscanner.

Als je geluk hebt download hij inderdada gewoon een bekende backdoor/trojan, als je pech hebt is het format c:\ [of welke schijf] en is het dagdag met al je data, of nog iets ernstigers..

Verwijderd schreef op woensdag 04 januari 2006 @ 16:16:
[...]

Of even heel goed googlen naar MS patch


[...]

Komt van http://www.zdnet.nl/news.cfm?id=52416

MS (en de virusscannerfabrikanten) waarschuwen hier voor. Immers is het heel simpel om de patch te misbruiken om spyware op je systeem te zetten, je weet immers nooit of het de echte patch is!

Verwijderd schreef op woensdag 04 januari 2006 @ 16:52:
[...]

Het is niet anders dan met een vergelijkbaar javascript, vbscript, whatever. Alleen als ik een mail lees of een site bezoek die geinfecteerd is met het virus kan ik geinfecteerd raken. Het is niet dat dit een remotely exploitable lek is.

De reden dat ik me weinig zorgen maak is dat er maar een beperkte hoeveelheid code in de WMF staat welke net als elk ander lame virus een aantal bekende backdoors ophaalt. Zoals ik al aangaf worden deze backdoors gewoon afgevangen door je virusscanner.

Ik kan het natuurlijk fouthebben, maar ik denk dat het allemaal heel erg mee gaat vallen.

Webwereld:
Niet iedereen is echter zo bezorgd. Russ Cooper, redacteur bij de NTBugtraq-mailinglijst en onderzoeker bij Cybertrust, verwacht niet dat het zo'n vaart zal lopen. "Wat ons betreft wordt de dreiging flink overdreven. Het wmf-lek zal niet massaal worden misbruikt."

Weet je? Ik word langzaam aan een beetje moe van dit soort reacties. Er zijn op dit moment in een paar dagen tijd meer dan 100 verschillende virussen bekend bij de AV's die via de WMF-bug proberen binnen te komen, en volgens dezelfde AV-fabrikanten is het waarschijnlijk maar de top van de ijsberg. Als mensen zoals die knakker van Cybertrust denken dat het wel meevalt dan gedragen ze zich net als MS.

Zwerver schreef op woensdag 04 januari 2006 @ 17:09:
[...]


MS (en de virusscannerfabrikanten) waarschuwen hier voor. Immers is het heel simpel om de patch te misbruiken om spyware op je systeem te zetten, je weet immers nooit of het de echte patch is!

Wees gerust, de patch is authentiek en doet prima zijn werk.
Ook al omdat hij door MS gesigneerd werd lijkt de patch af te zijn.

[ Voor 9% gewijzigd door Verwijderd op 04-01-2006 17:29 . Reden: toevoeging ]

Verwijderd schreef op woensdag 04 januari 2006 @ 17:22:
[...]

Wees gerust, de patch is authentiek en doet prima zijn werk.

Die van jouw misschien, maar die van pietje puk die hem van een andere site haalt dan?

Kan je niet hier de link ernaar plaatsen dan? Of is het nu nog warez?

Laatste post, daarna maak ik er geen woorden meer aan vuil.

Kan iemand zich nog MS04-028: Buffer Overrun in JPEG herinneren? Net zo link en het was echt niet het einde van de wereld.

Weet je wat het verschil was? Er was een patch voor toen hij bekend gemaakt werd.

Het posten van die link zou ik maar niet doen; het is niet legaal.

Zwerver schreef op woensdag 04 januari 2006 @ 17:45:
Weet je wat het verschil was? Er was een patch voor toen hij bekend gemaakt werd.

Het posten van die link zou ik maar niet doen; het is niet legaal.

Je hebt het bij het rechte eind
Bovendien weigert hij te installeren op niet-Engelstalige Windows-versies, en heb ik hem enkel in een testomgeving geprobeerd.

Verwijderd schreef op woensdag 04 januari 2006 @ 17:22:
[...]

Wees gerust, de patch is authentiek en doet prima zijn werk.
Ook al omdat hij door MS gesigneerd werd lijkt de patch af te zijn.

Het zou, naar mijn bescheiden mening, verantwoord zijn om alleen patches te downloaden die van een betrouwbaar adres komen.

Je kunt nog zo hard roepen dat de patch authentiek is, maar zolang Microsoft hem niet naar buiten heeft gebracht zie ik niet in waarom je hem zou repareren. Ik kan me daarentegen wel een heleboel redenen bedenken waarom je hem niet zou installeren.

Jazzy schreef op woensdag 04 januari 2006 @ 18:19:
[...]
Het zou, naar mijn bescheiden mening, verantwoord zijn om alleen patches te downloaden die van een betrouwbaar adres komen.

Je kunt nog zo hard roepen dat de patch authentiek is, maar zolang Microsoft hem niet naar buiten heeft gebracht zie ik niet in waarom je hem zou repareren. Ik kan me daarentegen wel een heleboel redenen bedenken waarom je hem niet zou installeren.

Zijn het KB-nummer, bestandsgrootte en digitale handtekening dan niet genoeg bewijzen?

Microsofts patch voor wmf-bug uitgelekt
Ik had et kunnen weten

theovds schreef op woensdag 04 januari 2006 @ 18:52:
Microsofts patch voor wmf-bug uitgelekt
Ik had et kunnen weten

Tuurlijk wist je dat, het staat vlak boven je
Edit: nu blijkt volgens het FAQ-gedeeldte in de Advisory dat de patch inderdaad verkeerdelijk op het Internet (security site) gelekt werd en dat dus niet de bedoeling was.

[ Voor 32% gewijzigd door Verwijderd op 04-01-2006 19:11 ]

Ik kan in Windows Explorer geen thumbnails meer bekijken (van bijv. jpg's). Ook bepaalde plaatjes in Firefox (en IE) kan ik niet zien:



De thumbnails zie ik wél in ACDSee

Ik heb het gevoeld dat dit iets met die wmffix te maken heeft (draai gwn XPSP2).

Ben ik de enige met dit probleem

Iemand enig idee over de kwetsbaarheid van Opera browser?

EricJH schreef op woensdag 04 januari 2006 @ 20:00:
Iemand enig idee over de kwetsbaarheid van Opera browser?

Verwijderd schreef op woensdag 28 december 2005 @ 21:14:

Niet alleen IE is vatbaar, ook andere browsers/programma's die WMF files kunnen of willen openen (Bijv. met Firefox, als je kiest voor openen/uitvoeren van zo'n fout bestand of Google Desktop die netjes dat file gaat indexeren). Op dit moment is er nog geen patch beschikbaar.