Verschlüsselung & Datensicherheit

Google Sicherheitsforscher entdeckt Sicherheitsleck in Windows Grafikbibliothek

Die Grafikbibliothek in Windows enthält einen Fehler. Dadurch kann es zum Auslesen sensibler Informationen kommen. Die Lücke soll Microsoft seit Ende des vergangenen Jahres bereits bekannt sein. Nun ist Google damit an die Öffentlichkeit getreten, nachdem Microsoft seinen Februar-Patchday verschoben hatte.

Eine ungepatchte Lücke

Der Google Sicherheitsforscher Mateusz Jurczyk hat eine Lücke in Windows entdeckt, mit deren Hilfe unter Umständen vertrauliche Informationen ausgelesen werden können, wie zdnet.de dazu ausführte. Offensichtlich war Microsoft der Bug schon seit dem 17. November des vergangenen Jahres bekannt.

Google hat sich nun zu einer Veröffentlichung entschlossen, da der Softwarekonzern die von Google gesetzte Frist von 90 Tagen für die Entwicklung eines Updates nicht eingehalten hat. Allerdings ist nicht klar, ob Microsoft das Update für den kurzfristig abgesagten Februar-Patchday eingeplant hatte, um eine frühzeitige Offenlegung des Bugs zu verhindern.

Fehler in der Grafikbibliothek

Der Fehler soll in der Grafikbibliothek gdi32.dll. stecken. Wie es heißt tritt dieser bei der Verarbeitung von geräteunabhängigen Bitmaps auf, die in Grafiken im Windows-Enhanced-Metafile-Format (EMF) eingebettet sind. Jurczyk hatte mehrere dieser Fehler an Microsoft gemeldet, von denen einige im vergangenen Jahr beseitigt worden seien.

Dazu kommentierte der Forscher kritisch:

„Allerdings haben wir festgestellt, dass nicht alle Probleme gelöst wurden“

„Als Folge ist es möglich, nicht initialisierte oder Out-of-bounds Heap-Bytes per Pixel-Farben in Internet Explorer und anderen GDI-Clients offenzulegen, was das Auslesen von Bilddaten erlaubt.“

Weiter verlautete dazu, dass Googles Advisory auch eine Beispieldatei enthält, mit der sich die Schwachstelle ausnutzen lässt. Damit könne man den Fehler im Internet Explorer oder auch aus der Ferne in Office Online reproduzieren, beispielsweise mit einem Word-Dokument im docx-Format, das die präparierte EMF-Datei enthalte.

Patchday wurde verschoben

Dazu merkt zdnet.de an, das ein Bug in Microsofts Update-Infrastruktur dazu geführt hat, dass die Februar-Patches erst am 14. März zur Verfügung stehen werden.

Daneben ist eine Zero-Day-Lücke in Windows SMB bekannt, die Denial-of-Service-Angriffe auf betroffene Systeme ermöglicht, was zu einem Absturz von Windows führen kann. Außerdem sind seit dem 14. Februar mehrere kritische Sicherheitslücken in Adobe Flash Player bekannt, für die Hacker nun Exploits entwickeln können. Nutzer von Internet Explorer 11 unter Windows 10 und 8.1 sowie Edge unter Windows 10 haben die zugehörigen Fixes jedoch noch nicht erhalten, weil auch sie durch die Absage des Februar-Patchdays erst im kommenden Monat zur Verfügung stehen werden.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben