Nieuwe trojans en een patch voor WMF-lek

Origineel bericht van gist 03/01/2006
of nog beter:gebruik geen microsoft software niet meer.

Origineel bericht van Chris 03/01/2006
Man man wat een reactie? Wrom gewoon ni de pc uitzetten?

Laat de anti MS discussie maar WEERAL ns losbarsten... have a life

Origineel bericht van lerk 03/01/2006
geef toe,het was enkel maar binnenkoppen

Origineel bericht van nero Kortrijk 03/01/2006
Hallo,

Wat is jullie mening over de patch? Wie installeert hem waarom? Waarom niet? Ik zit namelijk te twijfelen wat ik moet doen! Ik kan best wat raad gebruiken!

grtz nero

Origineel bericht van Bartolomeus 03/01/2006
Ilfak Guilfanov beschrijft wat zijn patch doet en geeft er de code bij. Er zijn geen neveneffecten. Ilfak Guilfanov en SANS zijn trouwens minstens even betrouwbaar als MS.

Origineel bericht van Win98adict 03/01/2006
Ik heb hier met m'n Windows 98 geprobeerd in te loggen zonder administrator rechten, maar dat lukt me niet. Kan MS uitleggen hoe je dat precies doet?

Origineel bericht van Michael 03/01/2006
"wees voorzichtig met het openen van links vanuit websites of e-mails die u niet volledig
vertrouwt"

www.microsoft.com?

Origineel bericht van Olaf 03/01/2006
Nero, die pach zou ander problemen kunnen veroorzaken. Bvb mensen die SP1 hebben terwijl het getest is met SP2...

Nu wie zegt dat die vent eerlijke bedoelingen heeft? Die patch kan een trojan zijn.

Het kan zijn dat de patch later problemen zal geven met de echte Windows update.

Origineel bericht van Skender 03/01/2006
Ik heb hem geïnstalleerd. De patch schakelt de escape() functie uit die gebruikt kan worden in de meta-data van een WMF-bestand. Voor een gewoon WMF-plaatje levert dat geen enkel probleem op. Je kunt de tekening nog altijd bekijken, bewerken, afprinten,...
Als de patch toch problemen zou veroorzaken, kun je hem er gewoon weer van smijten. Hij staat vermeld in de lijst software in je configuratiescherm.
Over het algemeen is het inderdaad geen goed idee om een onofficiële patch te downloaden, maar dit lek is echt wel een groot probleem en Ilfak Guilfanov heeft een zeer goede reputatie. Als dan ook SANS deze patch betrouwbaar noemt, zie ik niet in waarom ik hem niet zou installeren.

Origineel bericht van schwungman 03/01/2006
Dit konden ze in Redmond echt wel missen als...

Het komt hier dus op neer: "Open dan geen dingen waarvan je de afzender niet kent." Is dit hun boodschap naar beursmakelaars, internetshops, accountancybureau's,...? De tijd tot de patch of een goede workaround is gewoon te lang voor een commercieel produkt. Dit gaat hen echt geen goed doen.

Gebruik hoe dan ook een non-privileged user account en zoek een alternatief voor die software die er niet mee om kan, want deze deugt niet!

Origineel bericht van nero Kortrijk 03/01/2006
Hallo,

Je raad me dus aan om hem niet te installeren en nog even ongepatcht te werken. Zijn er dan nog andere tips buiten de drie Microsoft?

nero

Origineel bericht van Sjaaksken Leuven 03/01/2006
Ten eerste moet je je afvragen hoe groot het probleem is. Indien je denkt dat je de komende dagen geen mails zal doorkrijgen met een html link, video of foto in en je bezoekt voor de rest amper websites dan is de besmettingskans zeer klein.

Maar aangezien dit zowiezo nog altijd een beetje gokken blijft is het misschien beter om de komende dagen de onofficiële patch te installeren en wanneer (of als) er een officiële patch uitkomt de onofficiële te deïnstalleren en gewoon patchen via windows update... Dat is de aangeraden manier van werken, omdat zo je systeem niet kwetsbaar blijft gedurende de komende dagen. De vraag of de patch te vertrouwen is: JA deze patch is te vertrouwen. Niet alleen is dit een erkende beveiligingsexpert, hij laat de werking van de patch door IEDEREEN inkijken. Denk je nu echt dat hij zijn carriere als beveiligingsexpert gaat vergooien om een trojan op je pc te krijgen met een patch die iedereen kan controleren wat ze juist doet? Het idee alleen al is belachelijk. Ten tweede zelfs al is de onnoficiële patch niet 100 % waterproof momenteel is er nog geen weet van een lek in de patch, laat staan dat er misbruik van gemaakt kan worden. Wat WEL het geval is indien je je pc ongepatched laat.

Dus eigenlijk zit er maar één ding op, installeren die patch... en pas er af werpen indien microsoft zelf een patch uitheeft.

mvg

Origineel bericht van thomas 03/01/2006
Ik zou jullie allen aanraden om deze patch te installeren, daar in mijn vriendenkring al meerdere mensen gesignaleerd hebben dat ze deze virus hebben. En het is een agressieve hoor in combinatie met spyware (of spyware die zich voordoet als een anti-spyware programma). Het is bijzonder moeilijk te verwijderen. Alleen hitman pro krijgt de meeste brol eraf (www.hitmanpro.nl)

Groeten

Origineel bericht van Nero 1337 citey 03/01/2006
olaf jij rosse zeug , de code van die patch is door alle grote antivrusbedrijven gecontroleerd en veilig+als uitstekend werkend verklaart..

Ook werkt het op sp1 zonder problemen maar wie geen sp2 draait vraagt sowieso al om problemen -_-
++in linux was er ook zo'n gelijkaardigs exploit MAAR wel veel minder erg aangezien er na 1 dag al een patch voor handen was en aangezien het toch niet werd uitgebuit door middel van kwaadaardige code, dus...

lmao hopelijk komt microsoft nog voor 2007 nog met een patch
en dan te bedenken da ze streven naar security...nouja dit brengt allemaal veel op voor de commerciële antivrusmarkt

Origineel bericht van viruskiller 03/01/2006
Raar dat Windows dit probleem niet zelf aankan. Ik heb trouwens op mijn PC deze week ook een Trojan binnengekregen via een afbeelding maar mijn virusscanner detecteerde dit beestje direct en smeet hem er uit. Mijn PC draait nog op volle toeren...Is een niet officiêle patch wel nodig en betrouwbaar? Gaat het hier niet om een dure grap? Hoe kan men op een andere manier de PC beveiligen en wat kan men best vermijden? Veel vragen waar ik toch een woordje uitleg zou bij willen krijgen,

grtz,

viruskiller

Origineel bericht van nerorecode 03/01/2006
Geachte, een virusscanner wordt zeker aangeraden.
Maar aangezien er elke dag zo'n stuk of 5 nieuwe trojans uitkomen waar de virusscanners onmogelijk al een update klaar voor kunnen hebben is niemand veilig.(zelfs met antivirus).
die patch is 100% veilig en is ZEKER aangeraden om te installeren.
op 10 januari komt microsoft met een officiele patch en kan je de onoficiele dus gwn via configuratiescherm en software probleemloos te verwijderen.

ook gaat het hier natuurlijk om een dure grap van microsoft, want dit lek is inmiddels al meer dan 10 jaar bekent bij hun, dit bevordert natuurlijk de verkoop van antivrusproducten en dergelijke.

mvg geert

Origineel bericht van nero Kortrijk 03/01/2006
Oké, jullie hebben mij overtuigt om de patch te installeren. Ik ben inmiddels al veel meer gerustgesteld. Al blijf ik zeker op mijn hoede! Het is alvast veel beter dan mijn pc nog 7 dagen ongepatcht laten.

Patch is succesvol geïnstalleerd. Ik deinstalleer hem als de offiele patch eraan komt.

Origineel bericht van hop 03/01/2006
sorry,Bill is het nu efkens beu,los het zelf maar zegt ie.

Origineel bericht van kiji 04/01/2006
De man in kwestie is een bekend security-guru, zijn patch is door ISC (en waarschijnlijk de hele security business) doorgelicht en veilig bevonden; waarom zou je'm dan niet vertrouwen? Vertrouw je een bedrijf als SonyBmg wel? Of, straffer nog; MS dat er nog niet in slaagt om een patch te vinden, terwijl het blijkbaar simpel op te lossen is? Deze hele farce rond dat lek is een serieuze faux-pas voor MS; wat hun leger goedbetaalde programmeurs niet kunnen kan onze vriend dus met luttele kilobytes. Het is iemand van buiten het project, met een frisse kijk die een oplossing aandraagt; dat is nu net het voordeel van open bron. Vergelijk met FF waar lekken sneller worden gepatched dan in IE. In de academische wereld noemt men zoiets peer review; als iedereen elkaars code kan inkijken is er meer kans dat de bugs en lekken worden opgemerkt (dat geldt natuurlijk ook voor mensen die die lekken willen misbruiken maar gezien de patches daarvoor ook sneller ontwikkeld worden..)
Het hele MS coder corps slaagt er na 10 jaar nog niet in om een browser te maken die niet automatische alle rotzooi installeert, dus ik heb echt niet meer vertrouwen in MS dan in die onofficiele patch.

Origineel bericht van Dick 04/01/2006
http://isc.sans.org/diary.php?date=2006-01-01

WMF FAQ:

Should I just block all .WMF images?

This may help, but it is not sufficient. WMF files are recognized by a special header and the extension is not needed. The files could arrive using any extension, or embeded in Word or other documents.