Virenscanner schlagen bei präparierten JPEG-Bildern zu spät Alarm

Virenschutzprogramme schlagen beim Anzeigen präparierter JPEG-Bilder im Internet Explorer zu spät Alarm, da sie erst Zugriff auf ein Bild erhalten, wenn es vollständig geladen ist. Dann ist es aber bereits zu spät.

In Pocket speichern vorlesen Druckansicht 443 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Warnung zur JPEG-Sicherheitslücke aktualisiert und weist nun darauf hin, dass Virenschutzprogramme beim Anzeigen präparierter Bilder im Internet Explorer zu spät Alarm schlagen. Die Virenscanner können auf ein Bild erst dann zugreifen und es nach bösartigem Code durchsuchen, wenn es vom Browser vollständig geladen und im Cache (temporäre Internet-Dateien) abgelegt wurde. Allerdings ist es dann bereits zu spät. Eine Warnung kommt erst, nachdem der Schadcode schon im System gelandet ist.

Zwar können die Scanner die infizierte Datei in die Quarantäne schieben oder löschen, aktive Trojaner und Backdoors im Speicher bleiben aber meist weiter aktiv, da nur wenige Antivirensoftware eine Echtzeitüberwachung des Speichers durchführt. Zudem gibt es einige Würmer und Trojaner, die in der Lage sind, Scanner und Firewalls zu deaktivieren. Alternativ schützt auch das Surfen mit einem anderen Browser, etwa Mozilla oder Opera.

Außerdem spielt laut BSI die Endung der Grafik-Datei keine Rolle. Der Internet Explorer erkennt am Inhalt, ob es sich um eine JPEG-Grafik handelt und zeigt sie sofort an. Der momentan einzige, wirksame Schutz ist ein vollständig aktualisiertes System. Zumindest der Internet Explorer ist nach dem Installieren der Patches nicht mehr für das Einschleusen von Code verwundbar. Gegen den zweiten gemeldeten Fehler helfen allerdings auch die Patches nichts. Der Browser stürzt aber nur ab.

Siehe zu der Sicherheitslücke durch die JPEG-Verarbeitung unter Windows auch: