6-8 maanden om een patch uit te rollen??

En er zullen altijd mensen blijven die niet de kranten lezen
en dus nooit zullen weten dat er een WMF lek bestaat. Tsja,
en dan maar zeuren dat hun computer gehackt is :(

Een beetje interesse in de beveiliging van je bak kan geen
kwaad.

Aangeraden wordt om alle URL's te blokkeren die eindigen op .wmf

Wie IE heeft, kan deze extensie opnemen in Zone met beperkte toegang.
Toets daarvoor in: *..wmf (dus sterretje, twee punten achter elkaar en
daarna wmf toetsten). Geef dit weer aan met OK.

Elke URL die eindigt op deze extensie kan het downloaden worden
geblokkeerd als de zone met beperkte toegang op HOOG of HIGH staat.

Yaps, Waar ik werk zullen er zo'n slordige 200 applicaties getest moeten
worden om uit te vinden of alle functionaliteit nog steeds aanwezig is na de
patch.

En zo zullen er wel meer bedrijven zijn met eigen bedrijfscritische
applicaties.

zij die Windows illigaal hebben vallen ook naast de patchdoos.

beveiligingsupdates toch niet?

inderdaad, volgens mij ook en zo lastig is het op het moment
ook nog niet om toch gewoon alle patches te krijgen. en
bedrijven zullen meestal niet zo'n probleem met illegale
versies hebben.

Dan maak je toch gewoon van je ellegale windows een legale
windows.
Hoe ?

Open Internet Explorer. Klik Extra » Windows Update en ga
naar de site. Als MWU aangeeft dat
je installatiesoftware geudate moet worden, doe je dat. Als
je daarmee klaar bent of je had dat al
gedaan, klik je Extra » Internet-opties... » Programma's »
Invoegtoepassingen beheren....
Houd nu je oogjes open voor Windows Genuine Advantage,
selecteer het en selecteer onderin de
radiobutton voor Uitschakelen. Klik OK voor de bevestiging
en sluit nu alle Internet Explorer vensters.

Start Internet Explorer opnieuw op en ga naar MWU. Zodra je
kan kiezen tussen de 2 update-opties
(snel of aangepast), kies je voor Aangepast en klaar is Kees!

Appeltje eitje, kat in 't bakkie, kind doet de was.

Peter.V op zaterdag 07 januari 2006 18:10:
> Aangeraden wordt om alle URL's te blokkeren die
> eindigen op .wmf

Dat heeft nauwelijks zin, om minstens drie redenen.
[list=1]
[*]Webservers sturen bijna altijd een zogenaamd MIME type
mee. Waarschijnlijk zullen alleen IIS webservers het juiste
mimetype van wmf files meesturen ("image/x-wmf"), anderen
zullen "text/plain" of "binary/octet-stream" aan je browser
meegeven tijdens het ophalen van het bestand. Als er een
bekend MIME type meegestuurd wordt, zal jouw browser de
extensie volledig negeren.
[*]Als er een onbekend MIME type wordt meegestuurd zal eerst
naar de inhoud van de file worden gekeken. Alleen als dat
ook niet klopt wordt naar de extensie gekeken.
[*]Met de volgende aanduiding in de header die aan jouw
webbrowser kan worden aangeboden:
Content-Disposition: inline; filename="browsercheck.wmf"
kan de beveiliging die jij voorstelt mogelijk ook worden
omzeild.
[/list=1]

Je kunt dit zelf testen op deze pagina:
http://www.heise.de/security/dienste/browsercheck/demos/ie/wmf.shtml
Zowel "Test" als "neue Variante, als TIF-Datei" verwijzen
naar een pagina met .php als extensie van de URL maar laden
wmf exploits. In het geval van die "TIF-Datei" ontvangt jouw
browser een header voorafgaand aan de feitelijke file, die
er als volgt uitziet:

HTTP/1.1 200 OK
Date: Sun, 08 Jan 2006 21:06:53 GMT
Server: Apache/1.3.34
Vary: User-Agent
Content-Disposition: inline; filename="browsercheck.tif"
Content-Length: 16796
Connection: close
Content-Type: image/tiff

Info over hoe MSIE bepaalt wat te doen met files die worden
gedownload:
http://msdn.microsoft.com/workshop/networking/moniker/overview/appendix_a.asp
Info over Content-Disposition:
http://www.faqs.org/rfcs/rfc2183.html
De MIME koppelingen in de registry vind je onder
HKey_Classes_RootMimeDatabaseContent Type

Erik van Straten

"Content blocked The item you have requested is infected by
a virus. It will not be downloaded. URL
Http://www.heise.de/security/dienste/browsercheck/demos/ie/wmfexp4.php
Virus name Exploit.WMF.Gen-3

Ik kan niet testen :-(

Anoniem op zondag 08 januari 2006 23:24:
> The item you have requested is infected by
> a virus. It will not be downloaded.

Dat is een leugen van jouw virusscanner. Om het te kunnen
scannen moet het worden gedownload, en mogelijk is het op je
schijf gezet. Ik sluit niet uit dat het nog in je browser
cache staat, en dan zou het daarna zelfs door indexing
services "gevonden" kunnen worden en opnieuw een alarm
kunnen veroorzaken - mits op dat moment je virusscanner
draait (er zijn mensen die offline gaan en hun virusscanner
uitzetten omdat hun PC zo traag is door die scanner).

> Ik kan niet testen :-(

Jawel, en dat heb je al gedaan. Als je XP draait, geen
virusscanner zou draaien, nog niet gepatched had en
shimgvw.dll niet had "unregistered", was je PC
gecomprimitteerd geweest indien deze wmf een kwaadaardige
payload had gehad.

Vandaar mijn waarschuwing om niet uitsluitend op
bovenstaande oplossing van Peter V. de vertrouwen; er zijn
te veel bypasses mogelijk. De enige juiste oplossing is om
zo snel mogelijk patch MS06-001 te draaien.

Erik van Straten

KAN IEMAND MIJ IN GEWOON NEDERLANDS VERTELLEN HOE IK VAN
DAT movieland MENS AF KOM DIE ME IEDER HALF UUR KOMT
VERTELLEN DAT MIJN PROEFPERIODE IS VERSTREKEN EN IK NU
OVER MOET GAAN TOT BETALEN.? HET IS MIJ EEN LIEF DING WAARD
ALS DAT DING NIET MEER OP MIJN SCHERM VERSCHIJNT ! WIE
HELPT ?