Windows slutar visa innehållet i nedladdade filer

Så det här blir första säkerhetshålet* för de som kör Win10 utan ESU?

*Lite fel att kalla det säkerhetshål, då det alltid funnits där och alla med lite IT-vana och sunt förnuft redan känner till det.
Låt oss kalla det första bugfixen som gör Win10 med ESU säkrare än utan.

För att det är lättare sagt än gjort. Man skulle behöva sandbox:a alla previews. Och inte ens då kan man vara 100% säker.

Du menar https://addons.mozilla.org/en-US/firefox/addon/vt4browsers/ ?

Vilket påminner mig om att jag ska testa nya grafiska gränssnittet till VirusTotal i Linux
https://www.phoronix.com/news/GNOME-Lenspect-Threat-Scanner

Säkerhetshålet fixades redan i mars tidigare i år?

Edit:
Kan tillägga att publicerade CVE:s nära nog alltid innebär att fixar finns tillgängliga för supportade system.

Sen känns det som att många av dessa "Common Vulnerabilities and Exposures" mest innebär nya sätt att utnyttja gamla beprövade måltavlor. Såsom SMB i detta fallet.

Kan tänka mig att PrintSpooler ständigt exploitas på motsvarande sätt, så har alltid den tjänstem avstängd här.

Tack!

Kör DOpus här i Windows, så hade varit snyggt med en kolumn innehållande alla varningar från VirusTotal där

Om säkerhetsfixen är löst så behövs det väl inte skyddas på detta sätt?

https://resource.dopus.com/t/virustotal-command/53886
Har inte provat det själv men finns ett script till dopus

Jag skulle säga nej då W10 fick oktobers uppdatering också. Det var ju till och med oktober 2025 som W10 fick uppdateringar utan ESU

Jag har fixat i Group Policies (Software Restriction Policies) att filer inte är körbara ifrån exempelvis AppData\Local, AppData\Roaming samt Windows\Temp och dess underkataloger.

Klassiska ställen att köra virus ifrån.

Däremot emellanåt lite för effektivt, då främst DISM.exe gärna använder samma kataloger för att "laga" Windows. Ingen trodde väl att DISM körde ifrån sin egna plats på disken?

Förhandsgranskningar av filinnehåll har jag haft avstängt i OS:et ganska länge vid det här laget. Har för mig att denna risk existerade redan i Windows 7. Så det sitter lite i benmärgen.

Fast det går ju inte i praktiken. Det hittas nya säkerhetshål hela tiden. Man får utgå från att det finns säkerhetshål och filerna måste virusscannas innan preview. Sandboxing vore därför välkommet.

Egentligen borde hela Windows byggas om med Zero-Trust som utgångspunkt och använda sandboxing som default.

Givetvis skulle då själva sandboxing-tekniken bli den som hackers skulle ge sig på mest och vi skulle se månatliga säkerhetsuppdateringar som fixar detta. Hehe.

Känner jag Microsoft rätt, så fixades det enbart för just det specifika fallet rapporterats i CVE:n. Men då funktionen nu fått ögonen på sig, så försöker säkert fler exploita detta.

När allt kan trigga allt i ett system, så blir det snabbt svårt att kontrollera.

Lite som att bråka med Intern-IT på jobbet och försöka hitta genvägar i systemet. Ett säkerhetshål öppnar många dörrar

DOPus är mitt skydd från Microsoft, så ska se om jag kan få igång VirusTotal där.

Här är mer info om fixen från tidigare i mars:
https://www.wiz.io/vulnerability-database/cve/cve-2025-24071

Enkelt förklarat så är det ".library-ms" som utnyttjas tillsammans med Server Message Block (SMB).

Server Message Block är en ökänd säkerhetsrisk och är utrotat på mina maskiner sedan lång tid tillbaka, så jag ser detta som en icke-nyhet.

Move along, nothing to see!

Tillåter man SMBv1 på sin dator, så lär man ha fullt med andra problem.

Som vanligt hade en bra brandvägg likt Simplewall stoppat detta.

Gamla bildformat är en sörja av dålig kodning. Såg ett exempel på ett gammalt format som i princip var ett Turing-komplett programspråk och utnyttjades för att komma in i en iPhone. Apple had bara tagit med alla gamla bildavkodare som de byggt genom åren med MacOS (och även NeXT), så den kunde visa allt. Lösningen blev att sandboxa all bildavkodning, för de insåg att det säkert fanns hundra andra buggar som gömde sig i koden.

Menar du att kod från 1983 har säkerhetshål, alltså? Det var det värsta...

(SMB1 klassades som "deprecated" för 12 år sen och har inte installerats per default i Windows på 8 år minst. Vet inte ens om det går att installera längre. Stödet är också helt borta i MacOS, och eftersom Linux-distributioner oftast är snabbare än MS med att plocka bort stöd för osäkert gammal skräp så är det säkert borta överallt.)

Problemet är väl att det inte handlar om "ett" säkerhetshål utan flera, plus kanske nya säkerhetshål som inte har upptäckts ännu.
Att ha automatisk preview är lite som att automatiskt öppna alla filer man laddat hem. Hela konceptet är liksom osäkert. Filer från okända källor borde endast öppnas när man faktiskt väljer att öppna dem som användare efter att man gjort bedömningen att de är pålitliga.

Du kan aktivera det med tvång! Men CVE:n nämner just SMB, vilket jag undviker oavsett version.

Så här öppnar du kranen:
https://woshub.com/how-to-disable-smb-1-0-in-windows-10-serve...

Tycker mig se trådar om SMB (även 1.0) på forumet då och då.

Jo, det kanske är en okej lösning för att minska spridningen av virus i filer. Det är iaf tur att man kan stänga av det för nedladdade filer om så vill. Och kanske bra om det är en lösning för de flesta vanliga användare som inte har någon som helst säkerhetstänk.

Just att inte körbara filer (excel, pdf, jpg, zip) kan trigga körbara saker är över mitt förstånd. för okunnig på det tekniska.
Dopus använder väl preview som finns i explorer, så frågan är om man är skyddad mot sådana slags säkerhetshål om man använder preview i Dopus.

Excel kan innehålla macron. PDF kan innehålla Javascript. Vad gäller jpg och zip så skall det inte finnas körbar kod i dem, men i det här fallet så låg buggen i hur Windows auto-exekverade filer i en zip. Enkelt uttryckt, den behandlade .ms-library-filer som helt pålitliga trots att de kom från en zip.

Själv blir jag mest mörkrädd när jag startar "Process Explorer" och börjar flytta runt musen på skärmen.

Har inget emot att filer öppnas och program anropas när jag aktivt klickar på något, men att se tusentals filer anropas vid "mouse-over" skrämmer min Amiga-hjärna.

Kör gamla DOpus 12.33 här som har egen preview vad jag vet.

Ja dels så är det ju så att en del av de till filformat som brukar kallas för "icke körbara" ändå har någon körbar funktion i sig, som det som nämns ovan.
Men sedan då även att tolkningen av ett helt och hållet icke-körbart filformat kan vara sårbar för innehållet i en avsiktligt felaktigt skapad fil.

Ofta handlar det om att koden som hanterar formaten innehåller buggar som kan utnyttjas med speciellt utformade filer. T.ex. säkerhetshålet i 7-Zip som det nyligen pratades om, där en zip-fil kan lura 7-Zip att skriva filer till andra ställen än det valda (t.ex. ersätta systemfiler med skadliga filer).

Veckans Fönsternyhet.
Varje gång ett fönster(10) stängs så öppnas ett annat(11), eller en dörr(Unix).

Ingen brandvägg hjälper dock så bra som sunt förnuft att inte vara där när Noctua fyller 20 bruna (när skiten träffar fläkten).

Du vill skicka information om alla filer du laddar ner till VirusTotal.com?

Vad man vill ha är filer kontrolleras mot en lokal databas som uppdateras hela tiden. Som också ger möjlighet att varna i efterhand om filer man laddat ner senare visar sig ha en virus/malware-signatur.

Inte "alla" filer, men om jag exempelvis tar hem något från GitHub så är det trevligt med en "second opinion".

Tänker mig att jag markerar valfria filer i min Download-katalog och sen högerklickar med valet "Verify at VirusTotal.com".

Sen laddas inte filerna upp automatiskt, utan först försöker VirusTotal hitta en träff på den genererade hashen.