Google macht Sicherheitslücke in Windows öffentlich

Es handelt sich um einen Fehler in der Windows-Grafikbibliothek gdi32.dll. Sie gibt unter Umständen vertrauliche Informationen preis. Microsoft kennt die Anfälligkeit seit Mitte November 2016. Google folgt seinen Regeln, wonach ungepatchte Lücken nach 90 Tagen veröffentlicht werden.

Google hat Details zu einer Sicherheitslücke in Windows öffentlich gemacht, für die Microsoft bisher noch keinen Patch anbietet. Entdeckt wurde die Anfälligkeit von Mateusz Jurczyk, Sicherheitsforscher bei Google. Ein Angreifer kann mit ihrer Hilfe unter Umständen vertrauliche Informationen auslesen.

Windows 10 (Bild: ZDNet.de)Microsoft wusste einem Advisory zufolge schon seit 17. November von dem Bug. Die Veröffentlichung erfolgte nun, weil der Softwarekonzern die von Google gesetzte Frist von 90 Tagen für die Entwicklung eines Updates nicht eingehalten hat. Unklar ist, ob Microsoft das Update für den kurzfristig abgesagten Februar-Patchday eingeplant hatte, um eine frühzeitige Offenlegung des Bugs zu verhindern.

Der Fehler steckt in der Grafikbibliothek gdi32.dll. Er tritt bei der Verarbeitung von geräteunabhängigen Bitmaps auf, die in Grafiken im Windows-Enhanced-Metafile-Format (EMF) eingebettet sind. Jurczyk hatte nach eigenen Angaben mehrere dieser Fehler an Microsoft gemeldet, von denen einige im vergangenen Jahr beseitigt worden seien. „Allerdings haben wir festgestellt, dass nicht alle Probleme gelöst wurden“, schreibt der Forscher. „Als Folge ist es möglich, nicht initialisierte oder Out-of-bounds Heap-Bytes per Pixel-Farben in Internet Explorer und anderen GDI-Clients offenzulegen, was das Auslesen von Bilddaten erlaubt.“

Googles Advisory enthält auch eine Beispieldatei, mit der sich die Schwachstelle ausnutzen lässt. Der Fehler lasse sich damit im Internet Explorer oder auch aus der Ferne in Office Online reproduzieren, beispielsweise mit einem Word-Dokument im docx-Format, das die präparierte EMF-Datei enthalte.

Microsoft hatte seinen monatlichen Patchday in der vergangenen Woche zuerst kurzfristig verschoben und einen Tag später schließlich vollständig abgesagt. Als Grund nannte das Unternehmen einen Fehler, der einige Nutzer betreffen soll. Seitdem wird über die eigentliche Ursache spekuliert. Wahrscheinlich führte jedoch ein Bug in Microsofts Update-Infrastruktur dazu, dass die Februar-Patches erst am 14. März zur Verfügung stehen werden.

Seit Anfang Februar ist zudem eine Zero-Day-Lücke in Windows SMB bekannt. Sie ermöglicht Denial-of-Service-Angriffe auf betroffene Systeme, was zu einem Absturz von Windows führen kann. Außerdem sind seit dem 14. Februar mehrere kritische Sicherheitslücken in Adobe Flash Player bekannt, für die Hacker nun Exploits entwickeln können. Nutzer von Internet Explorer 11 unter Windows 10 und 8.1 sowie Edge unter Windows 10 haben die zugehörigen Fixes jedoch noch nicht erhalten, weil auch sie durch die Absage des Februar-Patchdays erst im kommenden Monat zur Verfügung stehen werden.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Google, Microsoft, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Google macht Sicherheitslücke in Windows öffentlich

Kommentar hinzufügen
  • Am 20. Februar 2017 um 11:34 von Tim the Tom

    Tja, dumm gelaufen, aber ausnahmsweise sehe ich das Problem eher nicht bei Google, sondern in der Unfähigkeit Microsofts, dass sie Sicherheitslücken auch fristgerecht patchen.
    Wenn Micrtosoft nicht aufpasst, wird das Thema zum Running Gag: „Hast Du gehört, Microsoft hat am Patchday Sicherheitsupdates geliefert?“ „Äh. HAHAHA!“
    Einmal ist keinmal zweimal ist einmal zu viel, und mehr als zweimal ist entweder eine sehr, sehr unglückliche Serie ODER ziemliche Unfähigkeit ODER schlicht und einfach der neue Normalzustand.
    Und das tragische daran: Microsoft kann das nicht anderen in die Schuhe schieben.

  • Am 20. Februar 2017 um 12:23 von Antiappler

    Tja, so etwas sieht immer schlecht aus.
    Da man aber die Gründe nicht kennt, kann man nur Vermutungen anstellen und sogar darüber lustige Kommentare schreiben.
    Was wäre wohl passiert, wenn Microsoft den Termin für den Patch wider besseres Wissen eingehalten hätte und es wären deshalb ein paar sehr unangenehme Dinge passiert?
    Wer weiß, was für Kommentare man dann hier hätte lesen können?

    • Am 20. Februar 2017 um 15:11 von Tim the Tom

      Ja: keine kritischen. Weil das schon mal passieren kann, alles nicht so schlimm, ist doch nicht wild, so eine Neuinstallation. Die bekannten Namen hätten gute Gründe dafür gefunden, dass das normal ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *