{"id":187619,"date":"2017-02-18T11:33:00","date_gmt":"2017-02-18T10:33:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=187619"},"modified":"2017-02-18T16:22:10","modified_gmt":"2017-02-18T15:22:10","slug":"windows-zero-day-schwachstelle-in-gdi-dll","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/02\/18\/windows-zero-day-schwachstelle-in-gdi-dll\/","title":{"rendered":"Windows: Zero-Day Schwachstelle in gdi.dll"},"content":{"rendered":"

In Windows gibt es eine weitere gr\u00f6\u00dfere Schwachstelle in der gdi.dll<\/em>, die jetzt vom Google Projekt Zero \u00f6ffentlich gemacht wurde. <\/p>\n

<\/p>\n

\"\"Mateusz Jurczyk vom Google Project Zero hat die Sicherheitsl\u00fccke in der Windows GDI-Bibliothek gdi.dll <\/em>entdeckt und nun \u00f6ffentlich gemacht<\/a>. GDI<\/a> steht f\u00fcr Graphics Device Interface. Dieses erm\u00f6glicht Anwendungen die Verwendung von Grafiken und formatiertem Text in der Grafikausgabe sowie beim Drucken. <\/p>\n

Die gdi.dll <\/em>ist eine Bibliotheksdatei, die im User-Mode aus Anwendungen aufgerufen wird. Konkret gibt Jurczyk an, dass mehrere Bugs in der gdi.dll <\/em>vorliegen, die zu einem Zugriff auf (Grafik-)Speicherinhalte (memory disclosure) genutzt werden k\u00f6nnen. <\/p>\n

Es reicht dazu einem EMF-Datei entsprechend zu pr\u00e4parieren, so dass die Behandlung der DIB-Daten (Device Independent Bitmaps) zu einem Speicher\u00fcberlauf f\u00fchrt. Konkret ist es so, dass im DIB-Header vier Felder die Lage der DIB-Daten beschreiben. Nun wird bei der Auswertung dieser DIB-Header-Daten vers\u00e4umt, diese auf Plausibilit\u00e4t zu pr\u00fcfen. Pr\u00e4pariert ein Angreifer nun einem EMF-Datei mit entsprechenden DIB-Datenbereichen, kann er das Feld mit der Gr\u00f6\u00dfenangabe f\u00fcr den DIB-Block beliebig setzen. Dies erm\u00f6glicht einem Angreifen u.U., aus der Anwendung, die einen GDI-Aufruf verwendet, auf den so adressierten Speicherbereich lesend zuzugreifen. <\/p>\n

Die GDI-Bibliotheken von Windows sind eigentlich st\u00e4ndig Sicherheitsbaustelle. So haben die Sicherheitsforscher erstmals L\u00fccken in der GDI-Schnittstelle am 16. M\u00e4rz 2016 an Google berichtet. Microsoft hat im Juni 2016 mit dem Security Bulletin MS16-074<\/em> versucht, diese Sicherheitsl\u00fccken in der GDI-Schnittstelle, konkret GDI32.dll, zu schlie\u00dfen (siehe Update-Details zum Microsoft Patchday 14. Juni 2016<\/a>), aber wohl nicht vollst\u00e4ndig. <\/p>\n

Momentan ist unklar, wie kritisch die neue Schwachstelle ist. Pers\u00f6nlich stufe ich diese eher als \"niedrig\" in der Wichtigkeit ein, da \"information diclosure\" nur potentiell das Risiko haben, dass Angreifer unbefugt auf Speicherbereich zur\u00fcckgreifen und Informationen auslesen k\u00f6nnen. Eine Rechteerh\u00f6hung, die eine Einstufung als \"kritisch\" rechtfertigen w\u00fcrde, ist nicht gegeben. <\/p>\n

Jedenfalls wurde der aktuelle Fehler in der gdi.dll <\/em>am 17. November 2016 an Microsoft gemeldet. Behoben wurde der Fehler leider noch nicht. Im Rahmen der Politik, gemeldete Fehler nach 90 Tagen \u00f6ffentlich zu machen, ist der Bug in der gdi.dll <\/em>jetzt ver\u00f6ffentlicht worden. Keine Ahnung, ob Microsoft das einen Patch f\u00fcr den 14. Februar 2017 in der Mache hatte. Jedenfalls ist der GDI-Bug noch nicht geschlossen und kann, nach bisheriger Lesart, fr\u00fchestens am 14. M\u00e4rz 2017 durch Microsoft gepatcht werden. Damit sind jetzt drei Sicherheitsl\u00fccken (der hier diskutierte GDI-Bug, die Sicherheitsl\u00fccke in Adobe Flash sowie die SMB Zero-Day-Sicherheitsl\u00fccke in Windows 8.1\/10\/Server<\/a>) in Windows ungepatcht. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Update-Details zum Microsoft Patchday 14. Juni 2016<\/a>
SMB Zero-Day-Sicherheitsl\u00fccke in Windows 8.1\/10\/Server<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

In Windows gibt es eine weitere gr\u00f6\u00dfere Schwachstelle in der gdi.dll, die jetzt vom Google Projekt Zero \u00f6ffentlich gemacht wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1782,4325],"class_list":["post-187619","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheitslucke","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187619","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187619"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187619\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}