Microsoft warnt vor kritischer Lücke in 64-Bit-Version von Windows 7
Ein Fehler in einem Treiber zur Darstellung von Bildern lässt sich nach Angaben von Microsoft unter Umständen ausnutzen, um ein System zu kompromttieren. Ob sich die Lücke aus der Ferne ausnutzen lässt, ist nicht ganz klar.
- Daniel Bachfeld
Ein Fehler im Canonical Display Driver (CDD) der 64-Bit-Versionen von Windows 7 und Windows Server 2008 R2 x64 sowie Windows Server 2008 R2 für Itanium zur Darstellung von Bildern lässt sich nach Angaben von Microsoft unter Umständen ausnutzen, um ein System zu kompromittieren. Vorraussetzung ist jedoch, dass der Aero-Desktop aktiv ist; unter Windows 7 ist er das in der Regel, bei WIndows Server 2008 muss man ihn manuell nachinstallieren.
Ursache des Problems ist ein Fehler beim Parsen von Informationen, die vom User- in das Kernel-Land kopiert werden. Wie man den Fehler provoziert, lässt sich dem Bericht von Microsoft nicht genau entnehmen. Die Redmonder schreiben, dass sich der Fehler eigentlich nur über Anwendungen ausnutzen lässt, die noch die (alte) GDI-API zum Zeichnen von Bildern verwenden. Der CDD emuliert nämlich nur eine Windows-XP-Schnittstelle für Aufrufe der GDI-Grafik-Engine. Die alte API können aber beispielsweise noch ältere Anwendungen anderer Hersteller aufrufen.
Uneinig scheint man sich in Redmond darüber zu sein, ob sich der Fehler überhaupt aus der Ferne ausnutzen lässt. Im offiziellen Advisory wird darauf hingewiesen, dass bereits der Besuch einer Webseite mit einem präparierten Bild genügt, um Opfer zu werden. Bruce Dang und Jonathan Ness von Micrososft Security Research Center schreiben dagegen, dass man bislang kein Szenario kenne, bei dem sich die Lücke aus der Ferne missbrauchen lasse. Demnach würde es sich nur um eine Lücke zum Erhöhen der Zugriffsrechte handeln.
Bislang gehen die Redmonder sowieso davon aus, dass sich die Lücke wegen der Speicherverwürfelung (Address Space Layout Randomization, ASLR) in den modernen Windows-Versionen nicht so einfach ausnutzen lässt und ein Angriff nur zum Stillstand beziehungsweise zum Neustart führt. Allerdings haben Hacker bereits beim letzten Pwn2own-Wettbewerb gezeigt, wie man Exploits auch trotz ASLR und DEP zum Laufen bekommt.
Microsoft arbeitet bereits an einem Patch, empfiehlt aber bis dahin, den Aero-Desktop zu deaktivieren beziehungsweise das Design zu ändern. Dazu wählt man unter "Start/Systemsteuerung/Darstellung und Anpassung/Design ändern" ein Design aus der Rubrik "Basicdesign und Design mit hohem Kontrast".
Siehe dazu auch:
- Vulnerability in Canonical Display Driver Could Allow Remote Code Execution
- Security Advisory 2028859 Released
- CDD.dll vulnerability: Difficult to exploit
- Pwn2own: iPhone gehackt – Internet Explorer 8, Firefox und Safari auch
(dab)
