Thema: «Bilderlücke» in Windows wird ausgenutzt

[SiLæncer]

Am Mittwoch musste Microsoft eine weitere schwerwiegende Sicherheitslücke in Windows einräumen. Sie werde von kriminellen Virenautoren bereits untersucht, so IT-Experten.

Der so genannte «JPEG-Fehler» sorgte Mitte der Woche für Aufsehen in IT-Sicherheitskreisen - im Gegensatz zu anderen Lücken ist dieses jüngste Problem in Windows äußerst leicht auszunutzen.

Ausnutzungen in Arbeit

Angreifer müssten Usern nur ein entsprechend präpariertes JPEG-Bild per E-Mail zusenden oder ein solches ins Web legen, schon könnten sie beliebigen Code auf dem Rechner des Nutzers ausführen, hieß es. Allerdings waren solche Fälle bislang nicht bekannt.

Dass sich das schnell ändern könnte, meldete am Donnerstag das IT-Fachblatt «InformationWorld». Laut dem Bericht arbeiten Untergrund-Kreise bereits an so genannten «Exploits», mit denen sich das Problem ausnutzen lässt. Ein entsprechender Wurm ist bislang nicht aufgetaucht. «Es ist aber genug Wissen da, um die Lücke sehr einfach auszunutzen», so Vincent Weafer von Symantec. Man rechne «voll damit», dass Angreifer die Technik nutzen würden.


«Buffer Overflow»

Der JPEG-Fehler befindet sich in einem Windows-Modul, das für die Darstellung dieser Bilderart zuständig ist. In seinem Code steckt ein Bug, der einen so genannten «Buffer Overflow» erlaubt - darüber können in JPEGs eingeschleuste Miniprogramme gestartet werden. Die Lücke taucht nur in Anwendungen auf, die das defekte Windows-JPEG-Modul nutzen, etwa Internet Explorer oder Outlook und zahlreiche andere Anwendungen von Microsoft.

Der Software-Konzern empfahl, ein entsprechendes Sicherheitsupdate einzuspielen. User, die Windows XP SP2 bereits installiert haben, sollen nicht betroffen sein, die Nachinstallation ältere Komponenten könnte den Rechner allerdings wieder angreifbar machen, meldete das Fachblatt «c't». Microsoft selbst stufte die Lücke als «kritisch» ein. Beobachtern zufolge könnte bereits in den nächsten Tagen mit ersten Viren zu rechnen sein, die auf dem JPEG-Fehler aufbauen; die Geschwindigkeit, mit der Lücken ausgenutzt werden, nehme ständig zu.

Quelle : www.netzeitung.de

[SiLæncer]

Die von Microsoft letzte Woche mit einem Update beseitigte Sicherheitslücke bei der Verarbeitung von JPEG-Bildern in Windows und zahlreichen Applikationen ist allem Anschein nach sehr viel länger bekannt als vermutet -- ob allerdings auch Microsoft davon wusste, ist unklar. Microsoft erwähnt in seinem Security Bulletin Nick DeBaggis als Entdecker der Lücke, mit der sich auch Code in Windows-Systeme einschleusen und starten lässt -- das Lesen einer präparierten Mail kann dazu schon ausreichen.  

DeBaggis hat kurz nach dem Patch-Day ein eigenes Advisory veröffentlicht, in dem der 7. Oktober 2003 als Datum genannt wird, an dem Microsoft von ihm über den Fehler informiert wurde. Als seien elf Monate zum Stopfen solch einer Lücke nicht schon lang genug, mehrten sich kurz darauf auf den Sicherheitsmailing-Listen Full Disclosure und Bugtraq die Hinweise, dass der Fehler sogar noch viel länger bekannt sei.

Ein Posting des Entwicklers Cassidy Macfarlane auf der ebenfalls auf Securityfocus gehosteten Liste Vuln-Dev vom 7. September 2002 beschreibt, wie er mit einem manipulierten Bild unter Windows XP Buffer Overflows reproduzierbar erzeugt. Das Test-Bild dazu stammte aus dem Securityfocus-Exploit-Archiv und diente eigentlich zur Demonstration einer Schwachstelle im Web-Browser Netscape -- genau der gleichen Schwachstelle, die jetzt von Microsoft gestopft wurde. Allerdings ist der ursprünglich von Solar Designer entdeckte Netscape-Fehler seit Mitte 2000 öffentlich bekannt.

Auf diesem alten Netscape-Demo-Bild basieren auch die derzeit kursierenden Bilder, die ungepatchte Windows-Systeme und Applikationen zum Absturz bringen. Nun wird darüber spekuliert, warum Microsoft von dieser mindestens seit zwei Jahren bekannten Lücke nichts wusste oder nicht darauf regiert hat. Vuln-Dev ist immerhin eine von vielen Entwicklern gelesene offene Liste, auch das Bild stand für jedermann zur Verfügung.

Quelle : www.heise.de