Es ist meist nur eine Frage der Zeit, bis nach der Entdeckung einer Sicherheitslücke auch die entsprechenden Exploits in Umlauf sind, die eben diese neue Sicherheitslücke ausnutzen wollen. Das gilt auch dann, wenn Microsoft die fragliche Sicherheitslücke bereits gestopft hat. An seinem regulären September-Patch-Day hatte Microsoft in einem Sicherheitsbulletin auf eine schwer wiegende Schwachstelle bei der Verarbeitung von JPEG-Bildern hingewiesen und diese zugleich mit seinem monatlichen Sicherheitsflicken gestopft. In den einschlägigen Hackerforen herrschte daraufhin emsiges Treiben. Mittlerweile sind die ersten präparierten Bilder im JPEG-Format aufgetaucht, die exakt die von Microsoft beschriebene Lücke nutzen. Die Hacker setzen darauf, dass nur die wenigsten User Sicherheitsflicken sofort einspielen und installieren.
Präpariertes JPEG-Bild erzeugt Buffer overflow
Die von Microsoft Mitte September beschriebene kritische Sicherheitslücke betrifft die Verarbeitung von Bildern im beliebten und weit verbreiteten JPEG-Format. Ein Fehler in der JPEG-Parsing-Komponente (gdiplus.dll) lässt es zu, dass ein präpariertes Bild einen Buffer Overflow in einer Windows-Anwendung verursachen kann, mit dem sich der Stack überschreiben lässt. Über manipulierte JPEG-Bilder könnte ein Angreifer Programmcode in das System seines Opfers einschleusen und ausführen lassen. Mit diesem schädlichen Programmcode könnten beispielsweise Dialer installiert, Trojaner ins System geschleust oder Systemhintertüren geöffnet werden. Microsoft selbst stuft diesen Fehler als kritisch, also als besonders gefährlich ein.
Sicherheitsupdate installieren
Die beschriebene Sicherheitslücke betrifft Microsoft zufolge eine lange Liste von Programmen, die das JPEG-Bildformat unterstützen. Darunter befinden sich einige Versionen von Windows, Microsoft Office und Microsoft-Entwicklungstools. Wer eines der im Sicherheitsbulletin genannten Programme auf seinem PC installiert hat, sollte unbedingt das entsprechende Sicherheitsupdate installieren. Microsoft bietet gleichzeitig ein Tool an, mit dem sich die Festplatte nach „gefährlicher“ Bildbearbeitungssoftware durchsuchen lässt. Daneben weist der Softwarekonzern darauf hin, dass Windows XP Service Pack 2 die genannte Sicherheitslücke nicht mehr aufweist. Hier muss lediglich Microsoft Office aktualisiert werden.
Manipulierte JPEG-Bilder aufgetaucht
Mit seinem Sicherheitsbulletin sowie dem veröffentlichten Sicherheitsflicken hatte Microsoft in der Hackerszene den Startschuss für die Suche nach Exploits gegeben, die just den beschriebenen Fehler in der Bildbearbeitung ausnutzen sollen. Es dauerte nur zwei Tage, bis in den einschlägigen Foren die ersten brauchbaren Exploits diskutiert wurden. Mittlerweile kursieren im Internet auch entsprechend präparierte JPEG-Bilder, die beispielsweise den Internet Explorer zum Absturz bringen können, sobald eine Webseite angesurft wird, auf der ein manipuliertes Bild zu finden ist. Allerdings handelt es sich bei diesen Bildern derzeit nur um Demo-Bilder ohne jegliche Schadfunktionen. Sie demonstrieren die Folgen, die der Fehler im System bewirkt, ohne jedoch schädlichen Code zu transportieren. Es dürfte allerdings nur eine Frage der Zeit sein, bis aus diesen Demo-Bildchen Ernst geworden ist. Der erste Wurm, der als Gepäck ein manipuliertes JPEG-Bild mitbringt, dürfte nicht mehr lange auf sich warten lassen. Es ist deshalb dringend geboten, das von Microsoft angebotene Sicherheitsupdate zu installieren.
Zurück zur News-Übersicht
