Vorschau abschalten

Microsoft warnt vor neuer 0-Day-Lücke in Windows

Mittwoch den 05.01.2011 um 10:31 Uhr

von Frank Ziemann

Neue Windows-Lücke
Vergrößern Neue Windows-Lücke
© 2014
Alle Windows-Versionen vor Windows 7 sind für Angriffe anfällig, die mit präparierten Vorschaubildern erfolgen. Damit ist möglich Code einzuschleusen und auszuführen. Ein Sicherheits-Update dagegen gibt es noch nicht.
Sicherheitsforscher haben kürzlich auf einer Konferenz einen Weg vorgestellt, wie sie eine bis dato nicht bekannte Schwachstelle in Windows ausnutzen können, um Code einzuschleusen. Die Lücke steckt in der Grafikschnittstelle von Windows und betrifft Windows XP, Vista und Server 2003/2008.

Moti Joseph und Xu Hao haben auf der koreanischen Hacker-Konferenz "Power of Community" Mitte Dezember die Ausnutzung einer Sicherheitslücke in Windows durch speziell präparierte Vorschaubilder demonstriert, die in Dateien eingebettet sind. Sie manipulieren die Kopfzeilen der Vorschaubilder indem sie für die Farbtiefe einen negativen Wert eintragen. Versucht Windows ein solches Vorschaubild anzuzeigen, kommt es zu einem Pufferüberlauf.

Microsoft hat in dieser Woche die Sicherheitsmitteilung 2490606 veröffentlicht, in der es die Anfälligkeit bestätigt. Demnach sind Windows 7 und Server 2008 R2 nicht betroffen. Der Fehler steckt in der Systembibliothek shimgvw.dll, die für die Anzeige der Miniaturansichten (Thumbnails) im Windows Explorer zuständig ist. Sie ist nicht zum ersten Mal Kern eines solchen Problems. So gab es etwa bereits Ende 2005 eine WMF-Lücke in dieser Datei.

Angriffszenarien reichen von Mail-Anhängen, etwa PDF- oder Office-Dateien, bis zu Netzlaufwerken mit präparierten Dateien. Nach Angaben von Microsoft sind bislang keine Angriffe auf diese Schwachstelle festgestellt worden. Microsoft arbeitet an einer Lösung des Problems und bereitet ein Sicherheits-Update vor. Ob dieses allerdings bereits beim nächsten Patch Day am 11. Januar bereit gestellt werden kann, ist zumindest fraglich.

Einstweilen rät Microsoft die Zugriffsrechte auf die anfällige DLL so stark einzuschränken, dass Windows keine Vorschaubilder mehr anzeigt. Damals bei der WMF-Lücke hat Microsoft noch die Deregistrierung dieser DLL empfohlen , wiederholt diesen Rat jedoch jetzt nicht.

Mittwoch den 05.01.2011 um 10:31 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
774608