Windows-Lücke nach Quellcode-Veröffentlichung entdeckt

Wie zu erwarten wird der Windows-2000-Quellcode bereits intensiv studiert. Auf der Malingliste Full Disclosure ist auch schon eine Meldung erschienen, die sich mit einem Fehler in win2k/private/inet/mshtml/src/site/download/imgbmp.cxx beschäftigt. Ein Offset zur Verarbeitung von Bitmap-Dateien ist fälschlicherweise vom Typ Signed Integer. Ein manipuliertes BMP-Bild kann einen Integer Overflow provozieren, bei der die Variable cbSkip negativ wird (siehe dazu das Posting auf Full-Disclosure). Der anschließende Read-Aufruf überschreibt dann den Stack mit den in der BMP-Datei enthaltenen Daten. Prinzipiell lässt sich damit beliebiger Code ausführen.

Der im Posting beigefügte Exploit besteht aus einer kleinen HTML-Datei und einem speziellen BMP; es bringt nach Angaben des Autors bisher nur den Internet Explorer auf Windows 98 zum Absturz. Ein Test in der c't-Redaktion führte aber statt des Internet Explorer bei Outlook Express 5.x zu einem ungewollten Programmende. Dazu reichte es schon aus, das per Mail erhaltene Posting der Liste zu öffnen. Andere Leser der Mailingliste bestätigten auch Abstürze von Outlook Express 6.0 unter XP beim Preview der Mail.

Die vorliegende Schwachstelle demonstriert, wie schnell Fehler im Windows-Quellcode gefunden wurden. Ohnehin scheinen sich Scharen von "Sicherheitsexperten" nun mit der Entdeckung von Sicherheitslücken in Windows zu beschäftigen. Wenn diese versuchen, mit eigenen Exploits über weitere, möglicherweise vorhandene Lücken in Systeme einzubrechen, statt die Lücken Microsoft zu melden, steht Anwendern und Netzwerkverantwortlichen eine unsichere Zeit bevor. Schon gestern war ein anderer Exploit aufgetaucht, der Windows-Systeme über das Netzwerk zum Absturz bringt.

Siehe dazu auch:

• Posting auf Full Disclosure

Zum Auftauchen von Teilen des Windows-2000-Quellcodes im Internet siehe auch: (dab)

• Windows: Offene Quelltexte -- reloaded
• Windows-Quelltexte im Internet gesichtet