De voorlopige "oplossing" is als volgt:
- Klik
Startmenu ->
Uitvoeren
- type "
regsvr32 -u %windir%\system32\shimgvw.dll"
(zonder aanhalingstekens)
- klik op
[OK]
Hierdoor wordt "Microsoft Picture and Fax Viewer" buiten werking gesteld. Deze viewer is juist het deel dat kwetsbaar is. Deze workaround kan later weer eenvoudig ongedaan gemaakt worden.
http://www.microsoft.com/...rity/advisory/912840.mspxWorkarounds
Microsoft has tested the following workaround. While this workaround will not correct the underlying vulnerability, it will help block known attack vectors. When a workaround reduces functionality, it is identified in the following section.
Un-register the Windows Picture and Fax Viewer (Shimgvw.dll) on Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 and Windows Server 2003 Service Pack 1
To un-register Shimgvw.dll, follow these steps:
1. Click Start, click Run, type "regsvr32 -u %windir%\system32\shimgvw.dll" (without the quotation marks), and then click OK.
2. A dialog box appears to confirm that the un-registration process has succeeded. Click OK to close the dialog box.
Impact of Workaround: The Windows Picture and Fax Viewer will no longer be started when users click on a link to an image type that is associated with the Windows Picture and Fax Viewer.
To undo this change, re-register Shimgvw.dll by following the above steps. Replace the text in Step 1 with "regsvr32 %windir%\system32\shimgvw.dll" (without the quotation marks).
---------
Je kan voor de zekerheid ook nog het volgende in je hosts file zetten. Dit zijn domeinen/sites waarvan iig op dit moment bekend is dat ze deze vulnerability misbruiken.
Je moet zelf even de [dot] in een punt omzetten.
# wmf vulnerability exploiting sites:
0.0.0.0 toolbarbiz[dot]biz
0.0.0.0 toolbarsite[dot]biz
0.0.0.0 toolbartraff[dot]biz
0.0.0.0 toolbarurl[dot]biz
0.0.0.0 buytoolbar[dot]biz
0.0.0.0 buytraff[dot]biz
0.0.0.0 iframebiz[dot]biz
0.0.0.0 iframecash[dot]biz
0.0.0.0 iframesite[dot]biz
0.0.0.0 iframetraff[dot]biz
0.0.0.0 iframeurl[dot]biz
0.0.0.0 Crackz[dot]ws
0.0.0.0 unionseek[dot]com
0.0.0.0
www.tfcco[dot]com
0.0.0.0 Iframeurl[dot]biz
0.0.0.0 beehappyy[dot]biz
(bron:
http://www.f-secure.com/weblog/)
@ikke2
Dank voor het melden.
Klopt, kom ik ook net achter. Maar dit is ook maar een tijdelijke oplossing totdat MS met een patch komt. De keus tussen thumbnails in explorer of het risico dat mijn PC besmet wordt is niet moeilijk voor mij. En deze workaround is later (als er een patch is) weer in een handomdraai terug te draaien. Zie stukje engelse tekst hierboven.