In Windows gibt es eine weitere größere Schwachstelle in der gdi.dll, die jetzt vom Google Projekt Zero öffentlich gemacht wurde.
Anzeige
Mateusz Jurczyk vom Google Project Zero hat die Sicherheitslücke in der Windows GDI-Bibliothek gdi.dll entdeckt und nun öffentlich gemacht. GDI steht für Graphics Device Interface. Dieses ermöglicht Anwendungen die Verwendung von Grafiken und formatiertem Text in der Grafikausgabe sowie beim Drucken.
Die gdi.dll ist eine Bibliotheksdatei, die im User-Mode aus Anwendungen aufgerufen wird. Konkret gibt Jurczyk an, dass mehrere Bugs in der gdi.dll vorliegen, die zu einem Zugriff auf (Grafik-)Speicherinhalte (memory disclosure) genutzt werden können.
Es reicht dazu einem EMF-Datei entsprechend zu präparieren, so dass die Behandlung der DIB-Daten (Device Independent Bitmaps) zu einem Speicherüberlauf führt. Konkret ist es so, dass im DIB-Header vier Felder die Lage der DIB-Daten beschreiben. Nun wird bei der Auswertung dieser DIB-Header-Daten versäumt, diese auf Plausibilität zu prüfen. Präpariert ein Angreifer nun einem EMF-Datei mit entsprechenden DIB-Datenbereichen, kann er das Feld mit der Größenangabe für den DIB-Block beliebig setzen. Dies ermöglicht einem Angreifen u.U., aus der Anwendung, die einen GDI-Aufruf verwendet, auf den so adressierten Speicherbereich lesend zuzugreifen.
Die GDI-Bibliotheken von Windows sind eigentlich ständig Sicherheitsbaustelle. So haben die Sicherheitsforscher erstmals Lücken in der GDI-Schnittstelle am 16. März 2016 an Google berichtet. Microsoft hat im Juni 2016 mit dem Security Bulletin MS16-074 versucht, diese Sicherheitslücken in der GDI-Schnittstelle, konkret GDI32.dll, zu schließen (siehe Update-Details zum Microsoft Patchday 14. Juni 2016), aber wohl nicht vollständig.
Anzeige
Momentan ist unklar, wie kritisch die neue Schwachstelle ist. Persönlich stufe ich diese eher als "niedrig" in der Wichtigkeit ein, da "information diclosure" nur potentiell das Risiko haben, dass Angreifer unbefugt auf Speicherbereich zurückgreifen und Informationen auslesen können. Eine Rechteerhöhung, die eine Einstufung als "kritisch" rechtfertigen würde, ist nicht gegeben.
Jedenfalls wurde der aktuelle Fehler in der gdi.dll am 17. November 2016 an Microsoft gemeldet. Behoben wurde der Fehler leider noch nicht. Im Rahmen der Politik, gemeldete Fehler nach 90 Tagen öffentlich zu machen, ist der Bug in der gdi.dll jetzt veröffentlicht worden. Keine Ahnung, ob Microsoft das einen Patch für den 14. Februar 2017 in der Mache hatte. Jedenfalls ist der GDI-Bug noch nicht geschlossen und kann, nach bisheriger Lesart, frühestens am 14. März 2017 durch Microsoft gepatcht werden. Damit sind jetzt drei Sicherheitslücken (der hier diskutierte GDI-Bug, die Sicherheitslücke in Adobe Flash sowie die SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server) in Windows ungepatcht.
Ähnliche Artikel:
Update-Details zum Microsoft Patchday 14. Juni 2016
SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server
Anzeige