Zero-Day-Sicherheitsleck in Windows

Nachdem Google die selbstgesetzte Frist von 90 hat verstreichen lassen, veröffentlicht das Unternehmen Details zu einer Sicherheitslücke in Windows. Microsoft bietet für dieses Leck noch kein Patch. Entdeckt hat die Anfälligkeit der Google-Sicherheitsexperte Mateusz Jurczyk.

Google hatte Microsoft laut dem Advisory bereits am 17. November über das Leck informiert. Unklar ist, ob Microsoft das Update für den kurzfristig abgesagten Februar-Patchday eingeplant hatte, um eine frühzeitige Offenlegung des Bugs zu verhindern.

Google mach ein Leck in Windows öffentlich, für das der Hersteller noch keinen Patch bereitstellt. (Bild: Shutterstock)

Der Fehler steckt in der Grafikbibliothek gdi32.dll. Er tritt bei der Verarbeitung von geräteunabhängigen Bitmaps auf, die in Grafiken im Windows-Enhanced-Metafile-Format (EMF) eingebettet sind. Jurczyk hatte nach eigenen Angaben mehrere dieser Fehler an Microsoft gemeldet, von denen einige im vergangenen Jahr beseitigt worden seien. “Allerdings haben wir festgestellt, dass nicht alle Probleme gelöst wurden”, schreibt der Forscher. “Als Folge ist es möglich, nicht initialisierte oder Out-of-bounds Heap-Bytes per Pixel-Farben in Internet Explorer und anderen GDI-Clients offenzulegen, was das Auslesen von Bilddaten erlaubt.”

Googles Advisory enthält auch eine Beispieldatei, mit der sich die Schwachstelle ausnutzen lässt. Der Fehler lasse sich damit im Internet Explorer oder auch aus der Ferne in Office Online reproduzieren, beispielsweise mit einem Word-Dokument im docx-Format, das die präparierte EMF-Datei enthalte.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Microsoft hatte seinen monatlichen Patchday in der vergangenen Woche zuerst kurzfristig verschoben und einen Tag später schließlich vollständig abgesagt. Als Grund nannte das Unternehmen einen Fehler, der einige Nutzer betreffen soll. Seitdem wird über die eigentliche Ursache spekuliert. Wahrscheinlich führte jedoch ein Bug in Microsofts Update-Infrastruktur dazu, dass die Februar-Patches erst am 14. März zur Verfügung stehen werden.

Seit Anfang Februar ist zudem eine Zero-Day-Lücke in Windows SMB bekannt. Sie ermöglicht Denial-of-Service-Angriffe auf betroffene Systeme, was zu einem Absturz von Windows führen kann. Außerdem sind seit dem 14. Februar mehrere kritische Sicherheitslücken in Adobe Flash Player bekannt, für die Hacker nun Exploits entwickeln können. Nutzer von Internet Explorer 11 unter Windows 10 und 8.1 sowie Edge unter Windows 10 haben die zugehörigen Fixes jedoch noch nicht erhalten, weil auch sie durch die Absage des Februar-Patchdays erst im kommenden Monat zur Verfügung stehen werden.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Bumblebee: Cybererpresser setzen auf neue Malware zur Verbreitung von Ransomware

Symantec bringt den Loader Bumblebee in Verbindung mit den Ransomware-Gruppen Conti, Mountlocker und Quantum. Die…

2 Stunden ago

Markt für Microsoft-Partner flaut ab

ISG-Studie: Wettbewerb verschärft sich unter anderem, da Microsoft große und strategisch wichtige Kunden zunehmend direkt…

17 Stunden ago

ZuoRAT: Neue mehrstufige Malware greift SOHO-Router in Europa an

Die Malware ist bereits seit 2020 im Umlauf. Die Hintermänner setzten ZuoRAT nur für zielgerichtete…

22 Stunden ago

Firefox 102: Mozilla schließt 21 Sicherheitslücken

Für mehr Sicherheit sorgt auch ein strikteres Sandboxing des Audio-Decoding. Die Entwickler verbessern zudem den…

24 Stunden ago

Arm stellt zweite Generation der Armv9-CPUs vor

Die überarbeiteten Kerne Cortex-X3 und Cortex-A715 steigern die Peak Performance um bis zu 25 Prozent.…

1 Tag ago

“Gesamtbewertung von Atos liegt unter dem Marktdurchschnitt”

Ein Kommentar des Marktforschungs- und Beratungsunternehmens ISG zur Aufspaltung des IT-Dienstleisters Atos.

2 Tagen ago