JPEG-Schwachstelle in Windows länger bekannt als angenommen
Die von Microsoft beseitigte Sicherheitslücke in der Verarbeitung von JPEG-Bilder ist seit mindestens zwei Jahren öffentlich bekannt.
Die von Microsoft letzte Woche mit einem Update beseitigte Sicherheitslücke bei der Verarbeitung von JPEG-Bildern in Windows und zahlreichen Applikationen ist allem Anschein nach sehr viel länger bekannt als vermutet -- ob allerdings auch Microsoft davon wusste, ist unklar. Microsoft erwähnt in seinem Security Bulletin Nick DeBaggis als Entdecker der Lücke, mit der sich auch Code in Windows-Systeme einschleusen und starten lässt -- das Lesen einer präparierten Mail kann dazu schon ausreichen.
DeBaggis hat kurz nach dem Patch-Day ein eigenes Advisory veröffentlicht, in dem der 7. Oktober 2003 als Datum genannt wird, an dem Microsoft von ihm über den Fehler informiert wurde. Als seien elf Monate zum Stopfen solch einer Lücke nicht schon lang genug, mehrten sich kurz darauf auf den Sicherheitsmailing-Listen Full Disclosure und Bugtraq die Hinweise, dass der Fehler sogar noch viel länger bekannt sei.
Ein Posting des Entwicklers Cassidy Macfarlane auf der ebenfalls auf Securityfocus gehosteten Liste Vuln-Dev vom 7. September 2002 beschreibt, wie er mit einem manipulierten Bild unter Windows XP Buffer Overflows reproduzierbar erzeugt. Das Test-Bild dazu stammte aus dem Securityfocus-Exploit-Archiv und diente eigentlich zur Demonstration einer Schwachstelle im Web-Browser Netscape -- genau der gleichen Schwachstelle, die jetzt von Microsoft gestopft wurde. Allerdings ist der ursprünglich von Solar Designer entdeckte Netscape-Fehler seit Mitte 2000 öffentlich bekannt.
Auf diesem alten Netscape-Demo-Bild basieren auch die derzeit kursierenden Bilder, die ungepatchte Windows-Systeme und Applikationen zum Absturz bringen. Nun wird darüber spekuliert, warum Microsoft von dieser mindestens seit zwei Jahren bekannten Lücke nichts wusste oder nicht darauf reagiert hat. Vuln-Dev ist immerhin eine von vielen Entwicklern gelesene offene Liste, auch das Bild stand für jedermann zur Verfügung.
Siehe dazu auch: (dab)
- Old netscape vuln - affecting XP/explorer? auf Vuln-Dev
- JPEG COM Marker Processing Vulnerability in Netscape Browsers auf Openwall
