Im Microsoft-Betriebssystem Windows klafft eine bislang unbekannte Sicherheitslücke.

Bonn. Durch eine Schwachstelle im Grafikformat «Windows Metafile» (WMF) können laut einer Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Angreifer aus dem Internet heraus Schadprogramme auf dem heimischem Rechner ausführen. Zur Infizierung des PCs reiche die Vorschau einer verseuchten Bilddatei in einem E-Mail-Anhang oder das Anzeigen einer entsprechenden Datei auf einer Webseite, teilte das BSI in Bonn mit.

Das WMF-Format wurde entwickelt, um Grafiken zwischen verschiedenen Programmen auszutauschen. Es erlaubt, in den Meta-Informationen des Dokumentes einen ausführbaren Programmcode zu speichern und an den Empfänger zu übermitteln. Nach BSI-Angaben gibt es in der WMF-Rendering-Engine eine Schwachstelle, die es einem Angreifer ermöglicht, einen beliebigen Code in WMF-Dateien mit Benutzerrechten auf betroffenen Systemen auszuführen. Diese Schwachstelle könne auch über «Enhanced Metafile»-Dateien (EMF) ausgenutzt werden. Von der Sicherheitslücke betroffen seien mehrere Windows-Versionen, unter anderem XP SP1, XP SP2, 2000 SP4, 98 und ME.

Bislang seien Angriffe vor allem per E-Mail-Grußkarten zum neuen Jahr sowie beim Surfen auf präparierten Internetseiten erfolgt, so das BSI. Die Schwachstelle werde dazu verwendet, weitere Schadprogramme wie «Trojanische Pferde» auf den infizierten Rechner nachzuladen. Es könnten auch umbenannte WMF-Dateien mit der anfälligen Komponente verbreitet werden. So könnten Angreifer etwa eine in «.jpg» umbenannte WMF-Datei einsetzen.

Benutzer des Microsoft-Browsers Internet Explorer könnten durch den Besuch einer Webseite automatisch von Schadprogrammen infiziert werden, die die Sicherheitslücke ausnutzen, warnt das BSI. Nutzer des Firefox-Browsers könnten getroffen werden, wenn sie sich auf die Standard-Nachfrage des Browsers entscheiden, dennoch die entsprechende WMF-Datei auszuführen.

Einen Sicherheitspatch zur Behebung der Schwachstelle hat der Softwarehersteller Microsoft laut BSI bislang nicht bereitgestellt. Erst am kommenden Dienstag (10. Januar) sollen sich Anwender ein Programm zum Schließen der Lücke herunterladen können. «Bis dahin sollten die Leute vorsichtig sein», rät BSI-Experte Günther Ennen.

Als vorläufige Gegenmaßnahme wird empfohlen, den «Windows Picture and Fax Viewer» im Betriebssystem zu de-registrieren. Dadurch werde der Viewer nicht mehr ausgeführt, wenn eine Datei geöffnet wird, die mit dieser Funktionalität verknüpft ist. Nutzer des Firefox-Browsers sollten sich unter «Einstellungen/Extras/Downloads» vergewissern, daß für WMF-Dateien keine automatische Anzeige konfiguriert ist.

IT-Experte Günther Ennen empfiehlt zudem, die Virenschutzprogramme auf dem neuesten Stand zu halten: «Die Exploits werden von aktuellen Antivirenprogrammen erkannt.» Die drastischste Gegenmaßnahme wäre, das Anzeigen aller Bilddateien im Browser zu unterbinden. «Doch damit wäre kein sinnvolles Surfen mehr möglich.»