Alte und neue Exploits für Lücken unter Windows
Für die VML-Lücke im Internet Explorer gibt es bereits Exploits. Präparierte WMF-Bilder bringen den Windows Explorer zum Absturz.
- Daniel Bachfeld
Der Sicherheitsdienstleister Immunity will US-Medienberichten zufolge für die am vergangenen Patchday bekannt gewordene Lücke im VML-Parser des Internet Explorer der Versionen 6 und 7 einen Exploit entwickelt haben, der die vollständige Kontrolle über einen Windows-PC ermöglicht. Dazu genügt der Besuch einer bösartigen Webseite.
Immunity bietet seinen Exploit aber nur Kunden im Rahmen seines kostenpflichtigen Partnerprogramms an, die daraus Signaturen für Intrusion-Detection-Systeme und Tools für Penetration-Tests bauen. Der Exploit soll derzeit jedoch nur für den Internet Explorer 6 funktionieren, an einer Version für den IE 7 wird noch gearbeitet.
Immunitys Exploit ist allerdings nicht der erste Exploit für die VML-Lücke. Microsoft schreibt in seinem Security Bulletin zu der Lücke, dass sie bereits vor Herausgabe des Patches ausgenutzt wurde; von wem und in welchem Maße, geben die Redmonder aber nicht an. Anwender sollten den Patch so schnell wie möglich installieren.
Zudem ist ein Exploit für ein seit August 2006 bekanntes Problem im Windows Explorer in Windows XP wieder aufgetaucht: Präparierte WMF-Bilder bringen diesen zum Absturz. Ursache des Absturzes ist Analysen zufolge ein Aufruf der Funktion CreateBrushIndirect mit einer fehlerhaften LOGBRUSH-Struktur, in dessen Folge ein Pointer auf nicht initialisierten Speicher zeigt. Dabei stürzt der Windows Explorer ab. Dazu genügt es bereits, ein WMF-Bild in der Vorschau zu sehen, etwa wenn das Verzeichnis geöffnet wird, in dem das präparierte WMF-Bild liegt.
Zwar ist weder die Lücke noch der Exploit neu, dadurch dass Bugtraq den Fehler aber nochmals in seine Fehlerdatenbank aufgenommen hat, stößt er derzeit erneut auf größeres Interesse. Da sich über die Lücke aber kein Code in den Speicher schleusen lässt, kann auch kein Schadcode ausgeführt werden. Die Schwachstelle eignet sich also nur für DoS-Angriffe. Ein Patch gibt es nicht.
Siehe dazu auch:
- WMF CreateBrushIndirect vulnerability (DoS), Posting auf Bugtraq
(dab)
