Google veröffentlicht erneut Windows-Zeroday-Lücke
Google hat eine Windows-Lücke offengelegt, für die Microsoft keinen Patch hat. Mittels eines Speicherverarbeitungsfehlers beim Öffnen von Windows Metafiles können Angreifer an Speicher kommen, auf den sie keinen Zugriff haben dürften.
- Fabian A. Scherschel
Ein Sicherheitsforscher bei Googles Project Zero hat erneut eine Sicherheitslücke (CVE-2017-0038) in Windows offengelegt, bevor Microsoft einen Patch fertig hatte, der die Lücke schließt. Programmierfehler in der Grafikbibliothek GDI des Windows-Kernels können demnach missbraucht werden, um Speicherinhalt auszulesen, auf den unprivilegierte Nutzer eigentlich keinen Zugriff haben dürften. Die Lücke wurde Googles Richtlinien zufolge 90 Tage nach Bekanntgabe gegenüber Microsoft veröffentlicht. In der Vergangenheit waren die Project-Zero-Forscher für dieses Verhalten stark von Microsoft kritisiert worden.
Laut den Google-Forschern handelt es sich bei dem GDI-Bug um Folgeschäden einer Lücke (CVE-2016-3220), die Microsoft bereits im Juni 2016 mit dem Update MS16-074 ausgebessert hatte. Damals warnte Microsoft davor, dass die Lücke im schlimmsten Fall dazu missbraucht werden kann, um die Rechte des aktuellen Nutzers auszuweiten. Die Windows-Entwickler scheinen das Problem allerdings nicht in den Griff bekommen zu haben, so dass immer noch Teile der GDI-Implementierung von Windows Metafiles angreifbar sind. Ausnutzbar ist die Schwachstelle aus dem Netz mit Hilfe des Internet Explorers oder als Mail-Anhang, wenn dieser mit Office geöffnet wird.
Die Lücke wird, falls Microsoft nicht außer der Reihe patcht, wohl bis nächsten Monat offen bleiben. In ihrem Bug-Report wird spekuliert, dass das Update dafür Teil des von Microsoft zurückgehaltenen Patchdays war. In diesem Fall wäre das automatische Enthüllen der Details nach 90 Tagen durch Google für Microsoft wohl besonders bitter.
Korrektur vom 20.02.2017, 18:14 Uhr: Formulierung abgeändert, um das Missverständnis zu vermeiden, Microsoft hätte keine Möglichkeit gehabt, die Lücke zu schließen. Immerhin hatte die Firma nach Googles Richtlinien 90 Tage Zeit. Außerdem klargestellt, dass der Kommentar über den zurückgehaltenen Patchday nicht notwendigerweise von einem Google-Forscher stammte. (fab)