1861280

Klarstellung zur Zero-Day-Lücke in GDI+

08.11.2013 | 15:01 Uhr |

Microsoft hat zusätzliche Informationen dazu veröffentlicht, welche Software-Kombinationen anfällig für Angriffe auf die Zero-Day-Lücke in GDI+ sind. Außerdem ist nun auch klar, dass es beim Patch Day am kommenden Dienstag noch kein Update geben wird, das diese Lücke schließen würde.

In der Grafikschnittstelle GDI+ steckt eine kritische Sicherheitslücke, die bereits für gezielte Angriffe ausgenutzt wird. Microsofts Sicherheitsempfehlung 2896666 nennt Windows Vista und Server 2008 sowie Office 2003 bis 2010 und Lync als für diese Angriffe anfällige Software. Doch die Sache ist etwas komplizierter, wie Microsofts Dustin Childs im MSRC Blog berichtet.

Die anfällige Grafikkomponente, die etwa durch speziell präparierte TIFF-Dateien attackiert werden kann, steckt in der genannten Software. Anfällig sind Windows Vista und Server 2008 somit auch ohne installiertes Office oder Lync. Andere Windows-Versionen sind nur betroffen, wenn eine anfällige Office-Version oder Lync installiert ist.

Office 2003 und 2007 sind angreifbar, unabhängig davon, auf welcher Windows-Version sie laufen. Office 2010 ist hingegen nur anfällig, wenn es auf Windows XP oder Server 2003 installiert ist. Office 2013 ist gar nicht betroffen. Das Kommunikationsprogramm Lync ist in allen Versionen anfällig, egal auf welchem Windows es läuft.

Die bislang beobachteten Angriffe galten ausschließlich Office 2007 unter Windows XP. Sie sind mit per Mail verschickten Word-Dateien durchgeführt worden, in die ein speziell präpariertes TIFF-Bild eingefügt ist. Dieses enthält den Exploit-Code. Daher blockiert die durch Microsoft bereit gestellte Fix-it Lösung diesen Angriffsvektor, indem es den anfälligen TIFF-Codec deaktiviert.

Fest steht jedenfalls, dass Microsoft beim nächsten Patch Day am 12. November noch keine Updates bereit stellen wird, mit denen die eigentliche Schwachstelle beseitigt würde. Auch das geht aus Dustin Childs' Blog-Beitrag hervor. Der Einsatz des Microsoft-Tools Enhanced Mitigation Experience Toolkit (EMET) bietet Schutz vor diesen (und diversen anderen) Angriffen. Da die Angreifer zur Umgehung integrierter Schutzmaßnahmen auf ActiveX-Komponenten setzen, die ebenfalls in den Word-Dateien stecken, sollten Sie in Office das Ausführen in Dokumenten eingebetteter ActiveX-Steuerelemente blockieren und Mail-Anhänge nur in der geschützten Ansicht (Protected View) öffnen.

Das Magdeburger AV-Test Institut hat unterdessen drei verschiedene DOCX-Dateien untersucht, die für Angriffe auf diese Sicherheitslücke benutzt worden sind. Mit Stand gestern erkennen die Antivirusprogramme folgender Hersteller bereits alle drei Word-Dateien und/oder die enthaltenen Komponenten mit statischen Signaturen:

  • Avast ("TIFF:CVE-2013-3906 [Expl]")

  • AVG ("Exploit_c.YWT (Trojan horse)")

  • Bitdefender ("Exploit.CVE-2013-3906.Gen")

  • ESET Nod32 ("Win32/Exploit.CVE-2013-3906.A trojan")

  • F-Secure ("Exploit.CVE-2013-3906.Gen")

  • G Data ("Exploit.CVE-2013-3906.Gen"),

  • Kaspersky ("Exploit.MSOffice.CVE-2013-3906.a", "Exploit.OLE2.CVE-2012-1856.b"),

  • Microsoft ("Exploit:Win32/CVE-2013-3906"),

  • Norman ("Shellcode.B", "Shellcode.D"),

  • Norton / Symantec ("Trojan.Hantiff", "Trojan.Mdropper")

  • Sophos ("Exp/20133906-A", "Troj/DocDrop-AP").

Die übrigen Hersteller werden wohl in Kürze nachziehen oder haben inzwischen schon Updates bereit gestellt.

0 Kommentare zu diesem Artikel
1861280