Zero-Day-Lücke in der Windows-API

Eine kaum überschaubare Anzahl von Windows-Programmen benutzt die Microsoft Foundation Class Library (MFC), eine umfangreiche Sammlung von Systemfunktionen, die wohl auf jedem Windows-Rechner vorhanden ist. Jonathan Sarba vom GoodFellas Security Research Team hat einen Fehler in den Systembibliotheken mfc24.dll und mfc71.dll entdeckt, der zu einem Speicherüberlauf führen kann. Sarba hat seine Entdeckung bereits Mitte Juni an Microsoft gemeldet und sich nun entschlossen den Fehler zu veröffentlichen.

Das Problem steckt in der Funktion "CFileFind::FindFile()" der beiden MFC-DLLs, die übergebene Parameter nicht sorgfältig genug überprüft. Sie reserviert einen Puffer fester Länge und kopiert den übergebenen Parameter hinein, ohne zu prüfen, ob er hinein passt. Reicht eine Anwendung einen überlangen Parameter an diese Funktion weiter, kann es zu einem Heap-Überlauf kommen und bei einem sorgsam programmierten Exploit kann im Speicher verbliebener Code ausgeführt werden.

Prinzipiell kann mit einem passenden Exploit jede Anwendung angegriffen werden, die einen überlangen Parameter als erstes Argument an die anfällige Funktion zum Suchen einer Datei durch reicht. Wie das zu erfolgen hat, damit eingeschleuster Code ausgeführt wird, hängt auch von der Anwendung ab. Heißeste Kandidaten für Angriffe von außen sind naturgemäß Internet-Anwendungen wie Browser, Mail- oder Chat-Programme.

Eine korrigierte Version der anfälligen Systembibliotheken ist bislang nicht verfügbar. Jonathan Sarba erklärt, Microsoft habe ihm gegenüber einen Zeitplan dafür angekündigt, der jedoch noch ausstehe. Für Anwender gibt es kaum sinnvolle Umgehungsstrategien für diese Schwachstelle, da nicht bekannt ist, welche Anwendungen tatsächlich angreifbar sind. Berichte über derartige Angriffe liegen bislang nicht vor.