John skrev:
> "Klaus Andersen" skrev i en meddelelse
>> Man kan øjensynligt godt benytte IE uden nævnte fil
> Eller måske blot 'lukke bagdøren':
>
http://www.dslreports.com/forum/remark,15121689
Den løsning er ikke god nok. Nogle programmer, f.eks. Lotus Notes,
kalder dll-filen direkte uden at tjekke filtypen med registrerings-
databasen (du kan selvfølgelig omdøbe DLL-filen, husk at den genskabes
i løbet af få sekunder hvis ikke du husker at omdøbe DLL-filen i kata-
loget som den genskabes fra (jeg kan katme ikke komme på navnet på
funktionen og hvor på disken kataloget er)).
Her er Internet Storm Centers anbefaling indtil MS kommer med fixet[1]:
http://isc.sans.org/diary.php?storyid=992
Indrømmet, jeg er ikke ret vild med 3. parts patches og er ikke blevet
enig med mig selv om jeg vil være med til at rulle det ud.
[1] Der er ikke rigtigt noget fix, bortset fra helt at stoppe med at
anvende WMF-filer, for WMF-filer kan indeholde kode der afvikles uden
nogen form for kontrol (hardware DEP kan stoppe eventuel ondsindet
kode, software DEP er ikke godt nok selvom MS påstod det oprindeligt
i beskrivelsen af sårbarheden).
Diverse antivirus-programmer har signaturer til at kunne detektere
nogle af varianterne, men der kommer hele tiden nye, sidst jeg læste på
sunbeltblog.blogspot.com var der mere end 75 varianter.
Forhåbentlig vil nogle softwarehuse lære en lektie og for fremtiden
holde eksekverbar kode og data skarpt adskilt.
--
Hvorfor må dette ikke hænge i serverrummet? "When in fear, and when in
doubt; Run in circles, scream and shout!"- Anonymous