Gut zwei Wochen sind vergangen, seit Microsoft offiziell über eine schwer wiegende Windows-Sicherheitslücke bei der Verarbeitung von Bilddateien im JPEG-Format informiert hat. Kurz darauf kursierten in den einschlägigen Newsgroups bereits die ersten Exploits zur Ausnutzung der so genannten Windows-Bilderlücke. Jetzt sind auch die ersten manipulierten JPEG-Bilder aufgetaucht, die so präpariert sind, dass sie schädlichen Programmcode aus dem Internet nachladen können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer besonders ernst zu nehmenden Sicherheitslücke, zumal der Internet Explorer JPEG-Grafiken bereits anzeigt, bevor sie von Virenscannern überprüft werden können.
Manipulierte Bilder in Porno-Newsgroup aufgetaucht
Die so genannte Windows-JPEG-Sicherheitslücke ist seit dem 14. September offiziell bekannt. Damals informierte Microsoft alle Windows-Nutzer über eine kritische Sicherheitslücke bei der Verarbeitung von Bildern im JPEG-Format und lieferte gleich eine Reihe von Sicherheitsflicken, um die Lücke zu stopfen. Experten schätzten damals, dass es nur eine Frage der Zeit sei, bis die ersten JPEG-Bilder mit bösartigem Code im Netz auftauchen würden. Auch ging man davon aus, dass in der freien Wildbahn des WWW über kurz oder lang ein Wurmprogramm mit manipuliertem JPEG-Bild im Anhang auftauchen werde, das die Windows-Bilderlücke ausnutzen würde, um weltweit PCs mit schädlichem Code zu infizieren. Der Computerwurm lässt noch auf sich warten. Die ersten manipulierten Bilder mit schädlichem Inhalt sind allerdings mittlerweile in einer Porno-Newsgroup aufgetaucht.
Schadprogramme werden nachgeladen
Porno-Bilder sind bekanntlich nicht jedermanns Geschmack, die nun aufgetauchten manipulierten Pornobilder im JPG-Format dürften niemandem gefallen. Denn Windows-Nutzer, die sich die Bilder herunterluden und anschließend mit einem beliebigen Windowsprogramm betrachteten, aktivierten dadurch den eingefügten schädlichen Programmcode. Dieser sorgte dafür, dass ein weiteres Schadprogramm von einem bestimmten Webserver nachgeladen werden konnte. Je nachdem, mit welchen Rechten sich der Windows-Nutzer angemeldet hatte, hätte der Urheber der manipulierten Bilder den angegriffenen PC fernsteuern können. Mittlerweile ist der fragliche Server abgeschaltet. Die Gefahr ist damit aber längst noch nicht beseitigt.
Keine Entwarnung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht trotz der von Microsoft bereitgestellten Sicherheitsflicken noch immer von einer schwer wiegenden Sicherheitslücke – aus guten Gründen. Denn ein Windows-System bleibt heise security zufolge selbst dann gefährdet, wenn alle Microsoft-Patches geladen und installiert wurden. Ursache ist die große Anzahl betroffener (Bildbetrachtungs-)Programme. Jedes dieser Programme hat eine eigene, möglicherweise „kritische“ DLL-Datei, die zur Bildbetrachtung genutzt wird, im Gepäck. Wird ein neues Programm mit einer „verwundbaren“ DLL-Datei installiert, werden auch frisch gepatchte Systeme wieder angreifbar. Damit nicht genug.
Virenscanner schlagen zu spät Alarm
Das World Wide Web ist mit JPG-Bildern zugepflastert. Bisher wurde kein ernsthafter Versuch bekannt, JPG-Bilder zu manipulieren und mit ihnen schädlichen Programmcode zu verbreiten. Viele Virenscanner sind deshalb so eingestellt, dass sie Dateien mit den Endungen .jpg bzw. .jpeg nicht überprüfen. Solchermaßen eingestellte Virenscanner schlagen nicht Alarm. Aber selbst wenn das Virenschutzprogramm auch JPEG-Bilder scannt, ist die Gefahr noch nicht gebannt. Der Internet Explorer zeigt Grafiken und Bilder nämlich bereits an, bevor sie als Dateien im Browsercache gespeichert werden. Erst nachdem sie angezeigt wurden, werden sie im Cache abgelegt, und erst dann können sie von Virenscannern überprüft werden. Der Virenscanner schlägt Alarm – aber zu spät. Das System ist schon infiziert. Verschärfend kommt hinzu, dass eine JPG-Datei laut BSI vom Internet Explorer auch dann angezeigt wird, wenn sie nicht die Dateiendung .jpg oder .jpeg besitzt. Der Microsoft-Browser erkennt am Inhalt der Datei, dass es sich um eine JPG- oder JPEG-Grafik handelt und zeigt sie sofort an.
Vorsichtsmaßnahmen
Zu Testzwecken hat das BSI ein speziell präpariertes Bild zum Download ins Netz gestellt. Mit dieser Grafik lässt sich überprüfen, ob der Virenscanner richtig eingestellt ist. Ansonsten rät das BSI, die Microsoft-Patches zu installieren, Virenscanner zu aktualisieren und Outlook bzw. Outlook Express so einzustellen, dass Emails im Nur-Text- und nicht im HTML-Format angezeigt werden. Einen vollständigen Schutz vor manipulierten Grafiken gibt es derzeit nicht.
Zurück zur News-Übersicht
