Nach Patchday-Absage: Google macht weitere Windows-Lücke öffentlich

Sie steckt in den Browsern Internet Explorer 11 und Edge. Ein speziell gestaltetes HTML-Element kann einen Absturz der Browser auslösen. Unter Umständen ist auch das Einschleusen und Ausführen von Schadcode möglich.

Google hat eine weitere Sicherheitslücke in Microsoft-Produkten öffentlich gemacht. Der Fehler steckt in den Browsern Internet Explorer und Edge. Ein Angreifer kann unter Umständen einen Absturz der Browser auslösen und Schadcode einschleusen und ausführen.

Windows (Bild: Microsoft)Wie schon beim vor einer Woche gemeldeten Bug in der Windows-Grafikbibliothek gdi32.dll ist die von Googles Project Zero gesetzte 90-Tage-Frist zur Bereitstellung eines Updates abgelaufen. Unklar ist, ob Microsoft die Lücke tatsächlich im Rahmen des abgesagten Februar-Patchdays beseitigen wollte. Einen Grund für die Verschiebung um vier Wochen auf den 14. März hat Microsoft bisher nicht genannt.

Bei der nun als Zero-Day-Lücke einzustufenden Schwachstelle handelt es sich laut Google um einen Type-Confusion-Fehler in der HTML-Funktion „HandleColumnBreakOnColumnSpanningElement“, zu dem die Google-Forscher sogar einen Proof-of-Concept liefern. „Es ist kein Exploit verfügbar, aber ein Proof-of-Concept, der zeigt, dass ein Absturz möglich ist“, zitiert Computerworld aus einer E-Mail von Carsten Eiram, Chief Research Officer beim Sicherheitsanbieter Risk Based Security. „Der PoC könnte ein guter Ausgangspunkt für jeden sein, der einen funktionierenden Exploit entwickeln will. Google liefert sogar einige Hinweise, wie eine Codeausführung erreicht werden kann.“

Google hat die Anfälligkeit nach eigenen Angaben nur mit der 64-Bit-Version von Internet Explorer 11 unter Windows Server 2012 R2 getestet. „Allerdings sollten sich Microsoft Edge und IE 11 32-Bit ähnlich verhalten“, heißt es in Googles Advisory.

Forscher von Risk Based Security bestätigten zudem, dass sich die Schwachstelle auch auf einem vollständig gepatchten Windows-10-System ausnutzen lässt. Im Common Vulnerability Scoring System bewerten sie die Anfälligkeit mit 6,8 von 10 Punkten, da theoretisch auch Schadcode ausgeführt werden könnte.

Windows-Nutzer werden unter Umständen inzwischen von drei Zero-Day-Lücken bedroht. Die erste, die noch vor Verschiebung des Patchdays bekannt geworden ist, betrifft Nutzer des Netzwerkprotokolls Windows SMB. Hier könnte ein Angreifer einen Absturz eines Netzwerktreibers auslösen, der wiederum einen Blue Screen of Death nach sich ziehen kann. Damit sind alle Voraussetzungen für Denial-of-Service-Angriffe gegeben.

Die Lücke in der Windows-Grafikbibliothek gibt unter Umständen vertrauliche Informationen preis. Internet Explorer oder auch GDI-Clients wie Word können mithilfe einer manipulierten EMF-Grafikdatei benutzt werden, um Bilddaten auszulesen.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Im Audio-Webinar am 5. Juli 2017 um 11 Uhr erläutert Florian Bettges von HPE, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und erläutert Konzepte, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Edge, Google, Internet Explorer, Microsoft, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Nach Patchday-Absage: Google macht weitere Windows-Lücke öffentlich

Kommentar hinzufügen
  • Am 27. Februar 2017 um 17:35 von Gast

    Für diese Vorgehensweise fehlt mir jegliches Verständnis, und zwar für BEIDE Seiten:
    Es geht um die Sicherheit von Unmengen von Geräten, und zwei Firmen mit erwachsenen (?) Chefs verhalten sich, statt hier konstruktiv Zusammenzuarbeiten und das beste für ALLE im Auge zu haben, so wie zwei beleidigte Pubertierende: „nä nä, wenn Du das nicht so schnell machst wie ICH will, dann wirst Du schon sehen, was Du davon hast“, und der andere evtl. „ich mach das wanns MIR paßt!“…absolut kindisch und dumm!
    Kann denen mal jemand die Cloud wegnehmen? Das ist ja schlimmer als den Falschen am roten Knopf.
    …wobei Google hier dümmer ist meiner Meinung nach (nutze die eh überhaupt nicht; sind komplett geblockt, mit allem was dazugehört) denn: Eine Veröffentlichung von Schwachstellen macht nur dann Sinn, wenn der Nutzer etwas dagegen unternehmen könnte, also z.B. bei „Funksignal der Schließanlage von Autohersteller X läßt sich abfangen und kopieren“, da kann der Kunde reagieren und einfach den Funkschlüssel bis zum Patch nicht benutzen. Aber hier kann er gar nichts machen, es sei denn er ist Reverse-Engineer mit „unendlichen Kenntnissen“. Also ist das einfach nur ein Wirtschaftskrieg unter zwei Konkurrenten, ausgetragen auf dem Rücken der Kunden und der Sicherheit.

    • Am 28. Februar 2017 um 9:57 von Klaus

      Mir ist Google ja grundsätzlich suspekt, aber in diesen Fällen verhalten sie sich so, wie es üblich ist: Microsoft wird informiert, und wenn diese nicht gewillt oder in der Lage sind zu fixen, dann muss die Allgemeinheit darüber informiert werden, dass ihre Systeme unsicher sind.
      Microsoft ist ganz sicher keine Butzelbude, die haben genügend Know-how und Ressourcen, um das zu fixen.
      Daher ist deren Vorgehen absolut unverständlich. Einmal ist Zufall, zweimal ist nachlässigkeit, ab dem dritten Mal sollte man prüfen, ob es systematisch ist.
      Daran würde sich auch nichts ändern, wenn nicht Google, sndern xyz die Sicherheitslücken gemeldet hätte.
      Wie könnte man sonst Druck auf Microsoft und Co aufbauen, damit sie ihren Job erledigen? Sich mit einem „Keine Zeit, machen wir morgen/übermorgen/nie.“ zufriedengeben? Ich denke nicht, dass das eine Lösung wäre.

    • Am 28. Februar 2017 um 10:01 von Garfield Pasta

      Google hat das einzig richtige gemacht, weil sich ansonsten an der desaströsen Sicherheitspolitik von Softwareherstellern nichts ändert. Microsoft wusste seit 3 Monaten Bescheid, dass sie zwei brandgefährliche Sicherheitslücken haben und kriegt es nicht gebacken, die Lücken zu schliessen und versucht die Sache auszusitzen. 3 Monate sollten für eine Weltfirma wie Microsoft mehr als ausreichend Zeit sein, einen Patch zu entwickeln und zu testen. Die Google-Sicherheitsforscher sind ja nicht die einzigen, die nach Lücken suchen. Das, was sie gefunden haben, hätten (oder haben) andere auch gefunden. Nur wenn Microsoft (und die anderen Softwarehersteller) ausreichend Druck bekommen, ändern sie ihre Einstellung zu Sicherheitslücken und ihre Verantwortung für ihre Produkte auch nach dem Kauf.
      Schön wäre es jetzt, wenn Google auch seiner Verantwortung für 100e Millionen Geräte nachkommen würde, die mit veralteten unsicheren Android-Versionen laufen. Da könnte Microsoft ja mal tätig werden – unter genau denselben Optionen. Aber bitte nicht dadurch, dass die Mitarbeiter jetzt von den eigenen Produkten abgezogen werden, um eine Retourkutsche zu finden.

  • Am 28. Februar 2017 um 10:28 von homer

    wenn zwei sich streiten, erfreut´s den dritten !!!!
    und dann noch info wie dieses exploid aussehen könnte….
    wie paranoid muss man den sein ???

  • Am 28. Februar 2017 um 22:06 von Smartdata

    Wo ist das eine Windows Lücke? IE / Edge sind davon betroffen. Da eh kaum Jemand die als Browser nutzt, ist das halb so wild. Einfach nicht den IE / Edge nutzen, ist ja nicht so, dass man die braucht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *