[Großer]

Ist zwar nicht mehr ganz aktuell...

Anti-Virus-Hersteller verfangen sich im WMF-Bug

Während Windows-Besitzer noch mindestens bis zum nächsten Patch-Day
auf eine Lösung Seitens Microsofts warten müssen, versuchen Anti-Viren-Hersteller
den User vor der Bedrohung zu schützen.

Laut eines Tests von verschiedenen Anti-Viren-Programmen,
der gestern in den USA veröffentlicht wurde,
war der Hersteller Trend Micro der einzigste der den Schädling nicht erkannte.

Den Test führte eine unabhängige Prüfungsorganisition durch.
Dabei wurden 206 Schädlinge durch die Virusschilder der verschiedensten
Anti-Viren-Programme gejagt.
Von den 3 größten Anti-Virusfirmen fingen Symantec und McAfee alle Schädlinge,
außer bei Trend Micro übersah der Scanner 63 Schädlinge.

Auch für die kleineren Firmen sah der Test gut aus.
Kaspersky, Computer Associates International (e-Trust), F-Secure, Eset Nod 32,
Sophos und Bitdefender fanden in diesem Test alle 206 Schädlinge.
Selbst Microsofts neues Windows OneCare das zur Zeit als Testversion verfügbar ist,
erkennt alle Schädlinge.

Trend Micro arbeitet daran sein Produkt zu aktualisieren und die Erkennung zu verbessern,
sagte Gene Raimund, Technologie-Chef für Trend Micro Europa.
"Wir haben den Luxus eine der größten Kundschaft auf der Welt zu haben,
was aber auch eine große Belastung bei der Qualitätssicherung bedeutet".
Noch ringt Trend Micro darum einen guten Schutz anbieten zu können.
Zwar wurden in dem Test nicht alle Schädlinge gefunden, trotzdem
werden alle aktuellen Bedrohungen aus dem Internet erkannt, sagte er.

Der WMF-Fehler ist eher untypisch für Windows, und macht es deshalb für Anti-Viren-
Hersteller schwierig einen Schutz für Kunden anzubieten, sagte Andreas Marx,
ein Anti-Virus-Software-Fachmann an der Universität von Magdeburg, der diesen Test leitet.
Anti-Virenfirmen haben ein Problem damit, nicht infizierte Bilder nicht als Fehlermeldung ausgegeben werden.
Die Forscher mussten sich erst durch das Datei-Format graben und die Erkennung sorgfältig überprüft werden.
Einige Hersteller von Anti-Virus Programmen arbeiten noch an der richtigen Erkennung, sagte Marx.
Alle Anti-Viren Tools werden auf einer unterschiedlich Weise entwickelt, abhängig vom Code,
kann es für einige Hersteller sehr einfach sein diese Erkennung durch eine neue Signatur einzufügen.
Bei manch anderen Herstellern muß ein Teil des ganzen Programmes geändert werden, was u.a. bei
Trend Micro der Fall ist.

Auch kostenlose Anti-Viren Programme, kamen an diesem Test nicht vorbei.
Während Clam Anti-Virus alle außer einem Schädling erkannte, ließ AVG 59 Schädlinge an sich vorbei.
Die Erkennung von Clam Anti-Virus funktioniert gut, jedoch wurden 4 Fehlalarme ausgegeben und generell
erst einmal alle WMF-Dateien gestoppt - was aber kein Problem darstellt, da Clam AV eher für Server
genutzt wird und nicht für den Desktop-PC.
"AVG anderseits wird hauptsächlich auf dem Desktop-PC verwendet. Die Firma muß Fehlalarme vermeiden".
Marx sagte: "Ich weiß aber dass das Team von AVG Tag und Nacht an einer Lösung arbeitet".

Unterdessen warnen Experten vor tausenden von Websites und Bilder über Instant Messenger die diese
Windows-Lücke ausnutzen.
Microsoft jedoch meinte das es bisher nicht viele Angriffe auf ihre Kunden gegeben hätte.
Man plane jedoch zum nächsten Patch-Day die Lücke stopfen zu können.
Inzwischen sollten die Kunden den Workaround, die Sicherheitstips und ihre Anti-Viren Software zum
Schutz gegen diese Bedrohung nutzen, sagte Microsoft in einer Sicherheitsberatung.

Die Testergebnisse

Selbst verfasst!

[Großer]

Zitat (Breaker: 09.01.2006, 13:38)

Der WMF-Bug wurde doch schon Anfang letzter Woche seitens Microsoft gefixt?

Jep. Hier ist auch die News dazu.

Man beachte den ersten Satz...
Trotzdem halte ich den Artikel bzw. Test für sehr interessant.

[Rika]

Wie üblich gilt, daß in Zeiten zunehmender Vernetzung (das sogenannte "Internet") eine frühestmögliche Versorgung mit Signaturen das A und O eines guten Virenscanners ist. Trend Micro ist das leider nicht die einzige Firma, die sich da nicht sonderlich mit Ruhm bekleckert, auch Symantec hat sich neulich mal wieder schlecht herausgestellt: Während ClamAV die Malware Trojan.Agent.HX nach zwei Stunden erkannte, brauchte Kaskersky schon 5 Stunden für die Signaturen und Symantec geschlagene 8 Tage.

[Win-Fan]

Zitat (Breaker: 09.01.2006, 13:38)

Der WMF-Bug wurde doch schon letzte Woche seitens Microsoft gefixt?

Jep. Hier ist auch die News dazu.

Laut gestrieger News von @swissboy, war dies aber wohl doch noch keine endgültige Lösung gewesen, und scheint wohl erst am morgigen Patch-Day gefixt zu werden.

[Sydney]

Verstehe ich kein Deutsch mehr?

Zitat

Laut gestrieger News von @swissboy, war dies aber wohl doch noch keine endgültige Lösung gewesen, und scheint wohl erst am morgigen Patch-Day gefixt zu werden.

Dort steht:

Zitat

Zusätzlich zum Bulletin MS06-001 plant Microsoft, am 10. Januar 2006 Folgendes zu veröffentlichen:

Weiß jetzt nicht, ob Du es falsch gelesen hast oder Swissboy was falsches verstanden hat.

Dieser Beitrag wurde von Sydney bearbeitet: 09. Januar 2006 - 15:41

[Win-Fan]

@Sydney

Wie meinst du das jetzt?
Für mich sieht es nach min. 3 Aussagen in der News so aus als wenn es wie gesagt noch ein zusätzliches Update geben wird, da das bisherige Update (KB912919) "Entgegen der allgemeinen Annahme", scheinbar nicht die endgültige Lösung gewesen ist.
(Leider verweist swissboy in der News auf keinen Artikel.)

Zitat swissboy:

Zitat

Doch noch ein zusätzliches Microsoft Security Bulletin zum Januar Patch-Day

Entgegen der allgemeinen Annahme das es sich bei dem einen angekündigten Security Bulletin um das bereits veröffentlichte MS06-001 für die WMF-Sicherheitslücke handelt, scheint dies nicht der Fall zu sein und wird es am Dienstag zusätzlich noch ein neues Security Bulletin geben.

Zusätzlich zum Bulletin MS06-001 plant Microsoft, am 10. Januar 2006 Folgendes zu veröffentlichen:

Lässt also darauf schließen das es für dieses Problem noch ein weiteres Update geben wird.
Vielleicht hab ich aber wirklich einen an der "Waffel", und kann nur nichtmehr richtig lesen?
Vielleicht äußert sich ja swissboy nochmal genauer dazu.

Dieser Beitrag wurde von Win-Fan bearbeitet: 09. Januar 2006 - 16:01

[Sydney]

Also mich interessiert es herzlich wenig was Swissboy geschrieben hat. Für mich gelten die Infos auf den MS Seiten. Swissboy bitte nicht böse nehmen ist einfach so :-). Vertrauen ist gut Kontrolle ist besser.

Zitat

Zusätzlich zum Bulletin MS06-001 plant Microsoft, am 10. Januar 2006 Folgendes zu veröffentlichen:

Sicherheitsupdates

- Ein Microsoft Security Bulletin für Microsoft Windows. Der größte Schweregrad dieses Bulletins ist "Kritisch". Die Updates, die mit dem Bulletin veröffentlicht werden, erfordern nach der Installation unter Umständen einen Neustart. Alle Updates werden durch den Microsoft Baseline Security Analyzer (MBSA) erkannt.

- Ein Microsoft Security Bulletin für Microsoft Exchange und Microsoft Office. Der größte Schweregrad dieses Bulletins ist "Kritisch". Die Updates, die mit dem Bulletin veröffentlicht werden, erfordern nach der Installation unter Umständen einen Neustart. Alle Updates werden durch den Microsoft Baseline Security Analyzer (MBSA) erkannt.

Quelle: http://www.microsoft.com/technet/security/...in/advance.mspx

[swissboy]

Zitat (Win-Fan: 09.01.2006, 15:02)

Laut gestrieger News von @swissboy, war dies aber wohl doch noch keine endgültige Lösung gewesen, und scheint wohl erst am morgigen Patch-Day gefixt zu werden.

Du scheinst mich falsch verstanden haben. Es wird morgen zum Patch-Day noch ein neues Security Bulletin mit zugehörigem Update geben das nichts mit der WMF-Sicherheitslücke zu tun hat. Diese wurde mit dem Security Bulletin MS06-001 defintiv behoben und darf als erledigt gelten, war aber bereits nicht mehr (wie ursprünglich fälschlich angenommen) Teil der Patch-Day Vorankündigung.

Dieser Beitrag wurde von swissboy bearbeitet: 09. Januar 2006 - 19:03

[boenki]

Zitat (Breaker: 09.01.2006, 13:43)

Schon erstaunlich wie so ein kleiner Bug so grosse Wellen schlagen kann.

Wenn der kleine Bug sich nur schnell genug bewegt,
so kann auch dieser große Wellen schlagen.

Da bin ich ganz deiner Meinung und gratuliere dir zu diesem fantastischen Wortspiel.

Interessant an dieser Stelle finde ich (wie ich gerade lese),
dass auch Linux (ja Linux) von diesem Käfer betroffen sein kann.

Und zwar da diese Lücke in WINE und seinen Ablegern nachprogrammiert wurde

siehe hier

tshö
steffe

Dieser Beitrag wurde von boenki bearbeitet: 09. Januar 2006 - 22:35

[swissboy]

Zitat (boenki: 09.01.2006, 20:58)

Interessant an dieser Stelle finde ich (wie ich gerade lese), dass auch Linux (ja Linux) von diesem Käfer betroffen sein kann.

Siehe auch schon hier: Windows Metafile Bilder (wmf) Sicherheitslücke

[Win-Fan]

Zitat (swissboy: 09.01.2006, 18:32)

Du scheinst mich falsch verstanden zuhaben.

Das hab ich befürchtet.

@Sydney:
Gut, geb mich geschlagen. Sorry nochmal für die Diskussion.

[Sepultura]

Zitat (boenki: 09.01.2006, 20:58)

Wenn der kleine Bug sich nur schnell genug bewegt,
so kann auch dieser große Wellen schlagen.

Da bin ich ganz deiner Meinung und gratuliere dir zu diesem fantastischen Wortspiel.

Interessant an dieser Stelle finde ich (wie ich gerade lese),
dass auch Linux (ja Linux) von diesem Käfer betroffen sein kann.

Und zwar da diese Lücke in WINE und seinen Ablegern nachprogrammiert wurde

siehe hier

tshö
steffe

Laut offiziellen Channel von ReactOS auf Freenode ist der Fehler schon behoben. Sowohl WINE als auch ReactOS sollen nicht mehr vom Problem betroffen sein.