-UC- Homebase

Who should read this document: Customers who use any of the affected operating systems, affected software programs, or affected components.

Impact of Vulnerability: Remote Code Execution

Maximum Severity Rating: Critical

Erste präparierte JPEG-Bilder zur Windows-Sicherheitslücke im Umlauf

Zu der kürzlich gemeldeten Schwachstelle bei der Verarbeitung von JPEG-Bildern[1] unter Windows kursieren bereits mehrere präparierte Bilder im Internet, die den Internet Explorer bei der Anzeige zum Absturz bringen. Auf der Seite Gulftech.org ist ein Bild zum Testen[2] verfügbar, das unter Windows XP in den entsprechenden Applikationen einen Buffer Overflow provoziert. Beispielsweise stürzt der Windows Explorer bei der Anwahl des Bildes ab -- ohne dass die Preview aktiviert ist oder das Bild geöffnet wird. Das Öffnen mit Windows Paint hingegen funktioniert ohne Probleme.

Die im Umlauf befindlichen Demo-Bilder enthalten nach bisherigen Erkenntnissen keinen Schadcode oder Ähnliches. Es dürfte aber nur eine Frage der Zeit sein, bis die ersten Proof-of-Concept-Exploits erscheinen, die auch Code in sich tragen, um ihn in ein System zu schleusen. Bis zum Wurm dauert es dann erfahrungsgemäß auch nicht mehr lange. Anwender sollten die von Microsoft zur Verfügung gestellten Patches alsbald installieren, um die Sicherheitslücke zu schließen.

Siehe dazu auch:

* September 2004: Sicherheitsupdate für die JPEG-Verarbeitung (GDI+)[3] von Microsoft

(dab[4]/c't) (dab/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/51197

Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/51070
[2] http://www.gulftech.org/?node=downloads
[3] http://www.microsoft.com/germany/ms/sec ... egsec.mspx

Außerdem untersucht heise Security zusammen mit AV-Test ein JPEG-Bild, das auch auf vollständig gepatchten Systemen den Internet Explorer zum Absturz bringt. Der Fehler tritt aber nur in Microsofts Web-Browser auf, andere, von der ursprünglichen JPEG-Sicherheitslücke betroffene Applikationen scheinen in diesem Fall nicht gefährdet zu sein. Sollte sich der Fehler zum Einschleusen von Code ausnutzen lassen, wird heise Security eine Warnungmeldung veröffentlichen.

Sie führt nur zum Absturz und kann nicht zum Einschleusen von Code ausgenutzt werden. Microsoft ist dieser weitere Fehler wohl schon seit längerem bekannt, er soll aber erst mit Service Pack 3 für Windows XP und Service Pack 5 für Windows 2000 beseitigt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Warnung zur JPEG-Sicherheitslücke aktualisiert und weist nun darauf hin, dass Virenschutzprogramme beim Anzeigen präparierter Bilder im Internet Explorer zu spät Alarm schlagen. Die Virenscanner können auf ein Bild erst dann zugreifen und es nach bösartigem Code durchsuchen, wenn es vom Browser vollständig geladen und im Cache (temporäre Internet-Dateien) abgelegt wurde. Allerdings ist es dann bereits zu spät. Eine Warnung kommt erst, nachdem der Schadcode schon im System gelandet ist.

Zwar können die Scanner die infizierte Datei in die Quarantäne schieben oder löschen, aktive Trojaner und Backdoors im Speicher bleiben aber meist weiter aktiv, da nur wenige Antivirensoftware eine Echtzeitüberwachung des Speichers durchführt. Zudem gibt es einige Würmer und Trojaner, die in der Lage sind, Scanner und Firewalls zu deaktivieren. Wirksamen Schutz bietet nur ein vollständig aktualisiertes System. Alternativ schützt auch das Surfen mit einem anderen Browser, etwa Mozilla oder Opera.

Außerdem spielt laut BSI die Endung der Grafik-Datei keine Rolle. Der Internet Explorer erkennt am Inhalt, ob es sich um eine JPEG-Grafik handelt und zeigt sie sofort an. Der momentan einzige, wirksame Schutz ist ein vollständig aktualisiertes System.