Categories: BrowserWorkspace

Zero Day in Windows – Google legt nach

Nachdem Google bereits vor einigen Tagen eine bislang ungepatchte Lücke in Windows 10 bekannt gemacht hatte, legt das Sicherheitsteam von Google jetzt nochmal mit der Veröffentlichung von weiteren Fehlern in anderen Produkten nach. Betroffen sind die Browser Internet Explorer und Edge. Ein Angreifer kann darüber einen Absturz der Browser auslösen sowie Schadcode einschleusen und ausführen.

Wie schon beim vor einer Woche gemeldeten Bug in der Windows-Grafikbibliothek gdi32.dll ist die von Googles Project Zero gesetzte 90-Tage-Frist zur Bereitstellung eines Updates abgelaufen. Unklar ist, ob Microsoft die Lücke tatsächlich im Rahmen des abgesagten Februar-Patchdays beseitigen wollte. Einen Grund für die Verschiebung um vier Wochen auf den 14. März hat Microsoft bisher nicht genannt.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Bei der nun als Zero-Day-Lücke einzustufenden Schwachstelle handelt es sich laut Google um einen Type-Confusion-Fehler in der HTML-Funktion “HandleColumnBreakOnColumnSpanningElement”. Die Google-Forscher liefern sogar ein Proof-of-Concept. “Es ist kein Exploit verfügbar, aber ein Proof-of-Concept, der zeigt, dass ein Absturz möglich ist”, zitiert Computerworld aus einer E-Mail von Carsten Eiram, Chief Research Officer beim Sicherheitsanbieter Risk Based Security. “Der PoC könnte ein guter Ausgangspunkt für jeden sein, der einen funktionierenden Exploit entwickeln will. Google liefert sogar einige Hinweise, wie eine Codeausführung erreicht werden kann.”

Google hat die Anfälligkeit nach eigenen Angaben nur mit der 64-Bit-Version von Internet Explorer 11 unter Windows Server 2012 R2 getestet. “Allerdings sollten sich Microsoft Edge und IE 11 32-Bit ähnlich verhalten”, heißt es in Googles Advisory.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Forscher von Risk Based Security bestätigten zudem, dass sich die Schwachstelle auch auf einem vollständig gepatchten Windows-10-System ausnutzen lässt. Im Common Vulnerability Scoring System bewerten sie die Anfälligkeit mit 6,8 von 10 Punkten, da theoretisch auch Schadcode ausgeführt werden könnte.

Windows-Nutzer werden unter Umständen inzwischen von drei Zero-Day-Lücken bedroht. Die erste, die noch vor Verschiebung des Patchdays bekannt geworden ist, betrifft Nutzer des Netzwerkprotokolls Windows SMB. Hier könnte ein Angreifer einen Absturz eines Netzwerktreibers auslösen, der wiederum einen Blue Screen of Death nach sich ziehen kann. Damit sind alle Voraussetzungen für Denial-of-Service-Angriffe gegeben.

Die Lücke in der Windows-Grafikbibliothek gibt unter Umständen vertrauliche Informationen preis. Internet Explorer oder auch GDI-Clients wie Word können mithilfe einer manipulierten EMF-Grafikdatei benutzt werden, um Bilddaten auszulesen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago