Die Hinweise mehren sich, dass das Installieren der Microsoft Patches zum Stopfen der JPEG-Sicherheitslücke nicht in allen Fällen vollen Schutz bietet. Der Grund ist das Wirrwarr möglicher verwundbarer DLLs in Windows, da viele Applikationen ihre eigenen Versionen mitliefern und im Installationsordner ablegen. Selbst bei Microsoft bringt jede Applikation ihre eigene Kopie zur Installation mit. Daher haben die Redmonder auch zeitgleich mit den Patches das GDI-Scan-Tool zu Verfügung gestellt, mit denen Anwender ihr System nach fehlerhaften DLLs durchsuchen konnten. Allerdings sucht es nur in Pfaden installierter Microsoft-Produkte und gibt zudem keine klare Auskunft, welches Programm denn nun betroffen ist. Auch nach einem Update des Systems weist das Tool auf "mögliche Sicherheitsrisiken" hin. Tom Liston, Handler on Duty im Internet Storm Center, regt sich daher in einem offenen Brief an Microsoft über das nutzlose Tool auf.
Um auch die Applikationen von Drittherstellern auf verwundbare DLLs zu testen, hat Tom Listen ein eigenes GDI-Scan-Tool zum Download bereitgestellt, das unter Windows 2000 und XP läuft. Es sucht auf dem Laufwerk, auf dem Windows installiert, ist nach fehlerhaften Versionen von gdiplus.dll, sxs.dll, wsxs.dll und mso.dll. Anwender sollten sich mit dem Hersteller der jeweiligen Applikation in Verbindung setzen, ob eine aktualisierte Version verfügbar ist. Einigen Berichten zufolge funktioniert es manchmal, eine verwundbare durch eine nicht-verwundbare DLL zu ersetzen. Davon ist allerdings eigentlich abzuraten -- wer es dennoch probieren will, sollte zuvor Sicherungskopien der Dateien anlegen, die überschrieben werden sollen, da die Gefahr besteht, Anwendungen funktionsunfähig zu machen.
Bei einem Test in der Redaktion von heise Security fand das Tool auf einem vollständig gepatchten Windows-XP-SP1-System immer noch zwei verwundbare und vier eventuell verwundbare DLLs -- merkwürdigerweise alle in den Windows-eigenen Verzeichnissen. Die Gegenprobe brachte es an den Tag: Die Demo-Bilder ließen den Windows Explorer immer noch abstürzen. Beim nochmaligen Besuch der Windows-Update-Seiten wurde uns aber kein Patch mehr angeboten. Entweder sind Microsofts Patches unwirksam -- oder der Windows Explorer verwendet in solchen Fällen eine DLL, die von der Applikation eines Drittherstellers installiert wurde und folglich nicht von Microsoft gepatcht werden kann. Microsoft selbst bezeichnet diese Vermengung von DLL als "DLL Hell". heise Security wird weitergehende Tests durchführen und über die Ergebnisse berichten.
Siehe dazu auch hier :
http://www.heise.de/security/news/meldung/51070http://isc.sans.org/gdiscan.phpQuelle :
www.heise.de
