proMedia Internet KG

Kritische Lücke in GDI+ Bibliothek öffnet ungepatchte Windows-Systeme für Angriffe übers Netz

29. September 2004:  Pünktlich 14 Tage nach der Veröffentlichung des Security Bulletin MS04-028 nutzen die ersten Schadprogramme die kritische Sicherheitslücke in der von zahlreichen Programmen und allen neueren Windows- Versionen verwendeten GDI+ Bibliothek aus.

Eine präparierte JPEG- Datei verursacht einen Fehler in diesem Grafikmodul und lässt beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen. Bei den Herstellern von Antivirensoftware sind seit gestern mindestens zwei in the wild vorkommende Schädlinge bekannt, die diese Schwachstelle nutzen, um eine Backdoor zu installieren. Möglicherweise vergeht nur noch kurze Zeit, bis ein neuer Wurm sich über ungepatchte Systeme massenhaft verbreitet.

Von der Schwäche betroffen sind in jedem Fall Windows XP und Windows Server 2003. Auch alle anderen Windows- Systeme sind verwundbar, wenn Internet Explorer 6 oder Outlook (Versionen 2002 und 2003), Komponenten von Office XP oder Office 2003, bestimmte Versionen von .NET-Framework oder MS-Grafiksoftware installiert sind. Dies für den Fall, dass noch nicht alle dieser Produkte nach dem 14. September aktualisiert wurden. Das Security Bulletin MS04-028 enthält eine umfangreiche Auflistung der betroffenen Produkte.

Ihrer typischen Verwendung nach sind Internet Explorer und Outlook besonders stark exponiert. Aber auch im Windows- Explorer löst eine manipulierte JPEG- Datei spätestens bei der Vorschauanzeige einen kritischen Fehler aus.

Programme von Drittherstellern, die GDI+ verwenden, können weitere verwundbare Versionen der Datei GDIPLUS.DLL auf dem Rechner installiert haben. Eine Liste mit den betroffenen Versionsnummern dieser Komponente findet sich in MS04-028.

Microsoft empfiehlt die sofortige Installation aller betreffenden Softwareupdates.

GDI+ Erkennungstool

Microsoft stellt ein GDI+ Detection-Tool bereit, um auf einem System betroffene MS-Produkte zu identifizieren und Updates zu installieren. Downloadadresse und Beschreibung sind im Microsoft Knowledge Base-Artikel 873374 enthalten.

Das GDI+ Erkennungstool ermittelt jedoch keine verwundbaren Programme von Drittanbietern. Daher gilt auch für alle weitere Software, die JPEGs anzeigen kann: Beim Hersteller nach Updates suchen, stets aktuelle Versionen verwenden. Weitere verwundbare Komponenten lassen sich mit dem beim SANS Institute Internet Storm Center downloadbaren Werkzeug GDI Scan ermitteln.

Anti-Viren-Software

JPEG-Angriffe sind keine klassischen Viren: Der schädliche Code steckt nicht in einer ausführbaren Datei. Das JPEG-Format selbst sieht keine Möglichkeit zur Programmierung von Anweisungen vor. Dass es dennoch möglich geworden ist, Code über JPEG-Dateien einzuschleusen, liegt an der fehlerhaften Implementierung des JPEG- Parsers in Microsofts zentraler Grafikkomponente GDI+. Entsprechend sollten sich Gegenmassnahmen primär auf den Austausch eben dieser Komponente und betroffener Programme richten.

Daneben ist eine auf Virenschutzsoftware basierende zweite Verteidigungslinie immer sinnvoll. Es sollten aktuelle Produkte mit stets aktuellen Virensignaturen zum Einsatz kommen. Damit Virenscanner Angriffe mit präparierten JPEG-Dateien erkennen, müssen die Einstellungen das Scannen aller Dateien vorsehen. Windows Explorer schickt nämlich z.B. zur Tarnung als *.bmp umbenannte JPEGs ebenfalls durch den betroffenen JPEG-Parser, Internet Explorer richtet sich nach der Information im HTTP-Header, Outlook nach MIME-Typ und Dateiinhalt von E-Mail-Anhängen.

Patches und Tools bei Microsoft:

  • Microsoft Security Bulletin MS04-028:
    Pufferüberlauf in JPEG-Verarbeitung (GDI+) kann Codeausführung ermöglichen
    deutsch | englisch

  • Microsoft GDI+ Detection-Tool:
    Microsoft Knowledge Base-Artikel 873374
    deutsch | englisch

  • Automatisierte Updates:
    Windows | Office

Weitere Informationen

Virenschutz

Anwender der betroffenen Produkte sollten umgehend patchen. Verfügbare Servicepacks für die betreffenden Produkte sollten installiert sein, bevor der Patch eingespielt wird. Weitere Einzelheiten und Downloadadressen finden Sie im Microsoft Security Bulletin MS04-028.

 

Ältere Beiträge, Links:


Die Veröffentlichung dieser Ratschläge und der Links auf die Angebote Dritter erfolgt ohne Anspruch auf Vollständigkeit, nach besten Wissen, jedoch unter Ausschluß jeglicher Gewährleistung. - Vor jedem Eingriff in Ihr System sollten Sie grundsätzlich immer alle wichtigen Daten sichern. - Im Zweifel sollten Sie einen Fachmann beauftragen.

 

Portrait | Infos | Linux | Referenzen | Kontakt | Impressum | Home