Nieuw lek in XPSP2 via WMF files

StarLite schreef op woensdag 04 januari 2006 @ 20:19:
[...]


[...]

In addition to this, please do make the difference between a vulnerability and the lack of an exploit.

* One working exploit proves a vulnerability.
* Many non-functional exploits prove nothing towards the lack of a vulnerability.

We have a little project for all of the forensic treasure hunters out there. As you all know, the .wmf issue came into public view about a week ago. Since then, we've found that there are infected .wmf files with dates going back several weeks, so this little beauty has been around for a while. What we are looking for are any confirmed intrusions earlier than the first of December 2005 that can be traced to this current vulnerability. By confirmed, we mean that not only is the date of an infected .wmf file on a compromised system earlier than December 1st, but you can also prove that it was installed prior to December 1st and had some type of malicious payload embedded in it. Tell us whatever you can share, and we'll summarize the details for others. There's no prize for the earliest detect, but we are pretty sure that many would be interested in knowing how long this vulnerability has been actively exploited.

[ Voor 52% gewijzigd door Zwerver op 04-01-2006 23:56 ]

StarLite schreef op woensdag 04 januari 2006 @ 20:19:
[...]
Niet alleen IE is vatbaar, ook andere browsers/programma's die WMF files kunnen of willen openen (Bijv. met Firefox, als je kiest voor openen/uitvoeren van zo'n fout bestand of Google Desktop die netjes dat file gaat indexeren). Op dit moment is er nog geen patch beschikbaar.
[...]

[ Voor 16% gewijzigd door Verwijderd op 05-01-2006 02:23 ]

Verwijderd schreef op donderdag 05 januari 2006 @ 02:19:
Ook de bloggers van Sunbelt BLOG hebben de officiële MS patch te pakken gekregen, en ook zij vinden deze patch zeer doeltreffend.
Er staan geen links naar de patch bij, maar wel screenshots (die dus mijn eerdere post over het KB-nummer bevestigen).
Lees meer op http://sunbeltblog.blogsp...-at-microsoft-hotfix.html
Ook hier staat er meer info over de leak van de MS patch.

Zwerver schreef op donderdag 05 januari 2006 @ 07:36:
Oke, en nu laat ik alles gelijk, en hang er een stukje eigen spyware naast, het enige wat dan anders wordt is de checksum; die wij officieel niet in handen hebben omdat MS die niet vrijgeeft....

Bhai schreef op woensdag 04 januari 2006 @ 19:27:
Ik kan in Windows Explorer geen thumbnails meer bekijken (van bijv. jpg's). Ook bepaalde plaatjes in Firefox (en IE) kan ik niet zien:

[afbeelding]

De thumbnails zie ik wél in ACDSee

Ik heb het gevoeld dat dit iets met die wmffix te maken heeft (draai gwn XPSP2).

Ben ik de enige met dit probleem

Brahiewahiewa schreef op donderdag 05 januari 2006 @ 21:55:
De officiële microsoft patch is nu beschikbaar op http://www.microsoft.com/...ty/bulletin/ms06-001.mspx

[ Voor 3% gewijzigd door AW_Bos op 05-01-2006 23:17 ]

Bart1983 schreef op donderdag 05 januari 2006 @ 22:30:
[...]


Hij is ook beschikbaar via windows update !!

[ Voor 3% gewijzigd door Verwijderd op 06-01-2006 00:52 ]

thesystem schreef op donderdag 05 januari 2006 @ 23:27:
als ik de onofficieele patch pas heb verwijderd nadat ik de officieele microsoft patch heb geinstalleerd, is dan nog steeds alles in orde? of zijn er dan soms weer bestanden unpatched ofzo.

Bhai schreef op vrijdag 06 januari 2006 @ 20:12:
[...]
De thumbnails die ik niet kon zien, kwam dus doordat ik regsvr32 -u %windir%\\system32\\shimgvw.dll had gedaan. Nu werkt het weer, tnx

Bhai schreef op vrijdag 06 januari 2006 @ 20:18:
Wat ik me nu afvraag: wat gaat er gebeuren met degene die al besmet zijn geraakt en die dat nog niet weten. Het lijkt me dat dit een best wel grote groep gebruikers is

AW_Bos schreef op donderdag 05 januari 2006 @ 23:17:
Ik zal hem morgen eens installeren. Maar dan blijft die Picture-viewer wel juist werken dan met die patch ?

Verwijderd schreef op Saturday 07 January 2006 @ 21:50:
Ik zat zojuist op een website en plotseling opende de picture viewer. Er kwam echter geen plaatje te staan, maar er stond no preview available. (Het plaatje heette pic[1] ) Kan het zijn dat ik nu geinfecteerd ben met dit virus? En is er ergens een programmatje waarmee ik kan zien of ik dat virus heb?

Verwijderd schreef op zaterdag 07 januari 2006 @ 22:04:
[...]

Integendeel, "No preview available" is juist een teken dat de patch zijn werk goed doet

plakbandrol schreef op Saturday 07 January 2006 @ 22:30:
[...]

Als je wel geinfecteerd wordt krijg je ook die melding

Verwijderd schreef op zaterdag 07 januari 2006 @ 22:40:
[...]

Toch niet, hij blijft dan gewoon hangen op "Generating preview".

plakbandrol schreef op zaterdag 07 januari 2006 @ 23:39:
[...]

das vreemd, ik heb mezelf even laten infecteren en toen kreeg ik toch echt die melding

[ Voor 6% gewijzigd door Verwijderd op 08-01-2006 21:19 ]

Verwijderd schreef op zondag 08 januari 2006 @ 21:06:
"No preview available" houdt in dat de exploit zijn werk niet heeft kunnen doen.
Of dat komt doordat de patch is geïnstalleerd of de exploit niet fatsoenlijk werkt, dat is een andere vraag.

[ Voor 5% gewijzigd door Verwijderd op 08-01-2006 21:28 ]

Verwijderd schreef op zondag 08 januari 2006 @ 21:26:
[...]

Nochtans krijg ik enkel de melding "No preview available" nadat ik de patch installeerde. Zal wel aan mijn computer liggen dan? XP SP2 btw.

gerhald schreef op maandag 09 januari 2006 @ 07:35:Wat zijn de mogelijk heden voor win NT4 en windows2000 sp3 zonder te upgraden ?