Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: JPEG-Schwachstelle in Windows länger bekannt als angenommen  (Gelesen 944 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.523
JPEG-Schwachstelle in Windows länger bekannt als angenommen
« am: 21. September 2004, 00:33:42 »

Die von Microsoft letzte Woche mit einem Update beseitigte Sicherheitslücke bei der Verarbeitung von JPEG-Bildern in Windows und zahlreichen Applikationen ist allem Anschein nach sehr viel länger bekannt als vermutet -- ob allerdings auch Microsoft davon wusste, ist unklar. Microsoft erwähnt in seinem Security Bulletin Nick DeBaggis als Entdecker der Lücke, mit der sich auch Code in Windows-Systeme einschleusen und starten lässt -- das Lesen einer präparierten Mail kann dazu schon ausreichen.
   

DeBaggis hat kurz nach dem Patch-Day ein eigenes Advisory veröffentlicht, in dem der 7. Oktober 2003 als Datum genannt wird, an dem Microsoft von ihm über den Fehler informiert wurde. Als seien elf Monate zum Stopfen solch einer Lücke nicht schon lang genug, mehrten sich kurz darauf auf den Sicherheitsmailing-Listen Full Disclosure und Bugtraq die Hinweise, dass der Fehler sogar noch viel länger bekannt sei.

Ein Posting des Entwicklers Cassidy Macfarlane auf der ebenfalls auf Securityfocus gehosteten Liste Vuln-Dev vom 7. September 2002 beschreibt, wie er mit einem manipulierten Bild unter Windows XP Buffer Overflows reproduzierbar erzeugt. Das Test-Bild dazu stammte aus dem Securityfocus-Exploit-Archiv und diente eigentlich zur Demonstration einer Schwachstelle im Web-Browser Netscape -- genau der gleichen Schwachstelle, die jetzt von Microsoft gestopft wurde. Allerdings ist der ursprünglich von Solar Designer entdeckte Netscape-Fehler seit Mitte 2000 öffentlich bekannt.

Auf diesem alten Netscape-Demo-Bild basieren auch die derzeit kursierenden Bilder, die ungepatchte Windows-Systeme und Applikationen zum Absturz bringen. Nun wird darüber spekuliert, warum Microsoft von dieser mindestens seit zwei Jahren bekannten Lücke nichts wusste oder nicht darauf regiert hat. Vuln-Dev ist immerhin eine von vielen Entwicklern gelesene offene Liste, auch das Bild stand für jedermann zur Verfügung.

Quelle: heise.de
Gespeichert