Categories: BrowserWorkspace

Nach Patchday-Absage: Google macht weitere Windows-Lücke öffentlich

Google hat eine weitere Sicherheitslücke in Microsoft-Produkten öffentlich gemacht. Der Fehler steckt in den Browsern Internet Explorer und Edge. Ein Angreifer kann unter Umständen einen Absturz der Browser auslösen und Schadcode einschleusen und ausführen.

Wie schon beim vor einer Woche gemeldeten Bug in der Windows-Grafikbibliothek gdi32.dll ist die von Googles Project Zero gesetzte 90-Tage-Frist zur Bereitstellung eines Updates abgelaufen. Unklar ist, ob Microsoft die Lücke tatsächlich im Rahmen des abgesagten Februar-Patchdays beseitigen wollte. Einen Grund für die Verschiebung um vier Wochen auf den 14. März hat Microsoft bisher nicht genannt.

Bei der nun als Zero-Day-Lücke einzustufenden Schwachstelle handelt es sich laut Google um einen Type-Confusion-Fehler in der HTML-Funktion „HandleColumnBreakOnColumnSpanningElement“, zu dem die Google-Forscher sogar einen Proof-of-Concept liefern. „Es ist kein Exploit verfügbar, aber ein Proof-of-Concept, der zeigt, dass ein Absturz möglich ist“, zitiert Computerworld aus einer E-Mail von Carsten Eiram, Chief Research Officer beim Sicherheitsanbieter Risk Based Security. „Der PoC könnte ein guter Ausgangspunkt für jeden sein, der einen funktionierenden Exploit entwickeln will. Google liefert sogar einige Hinweise, wie eine Codeausführung erreicht werden kann.“

Google hat die Anfälligkeit nach eigenen Angaben nur mit der 64-Bit-Version von Internet Explorer 11 unter Windows Server 2012 R2 getestet. „Allerdings sollten sich Microsoft Edge und IE 11 32-Bit ähnlich verhalten“, heißt es in Googles Advisory.

Forscher von Risk Based Security bestätigten zudem, dass sich die Schwachstelle auch auf einem vollständig gepatchten Windows-10-System ausnutzen lässt. Im Common Vulnerability Scoring System bewerten sie die Anfälligkeit mit 6,8 von 10 Punkten, da theoretisch auch Schadcode ausgeführt werden könnte.

Windows-Nutzer werden unter Umständen inzwischen von drei Zero-Day-Lücken bedroht. Die erste, die noch vor Verschiebung des Patchdays bekannt geworden ist, betrifft Nutzer des Netzwerkprotokolls Windows SMB. Hier könnte ein Angreifer einen Absturz eines Netzwerktreibers auslösen, der wiederum einen Blue Screen of Death nach sich ziehen kann. Damit sind alle Voraussetzungen für Denial-of-Service-Angriffe gegeben.

Die Lücke in der Windows-Grafikbibliothek gibt unter Umständen vertrauliche Informationen preis. Internet Explorer oder auch GDI-Clients wie Word können mithilfe einer manipulierten EMF-Grafikdatei benutzt werden, um Bilddaten auszulesen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

9 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

9 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago