Temporärer Fix für Windows GDI-Sicherheitslücke

Publiziert am 5. März 2017 von Günter Born

In Windows gibt es eine Sicherheitslücke in der gdi.dll, die kürzlich vom Google Projekt Zero veröffentlicht wurde. Jetzt hat ein Drittanbieter einen temporären Fix vorgelegt, der die Lücke bis zur Veröffentlichung eines Windows-Updates schließt.

Anzeige

Über die Zero-Day-Sicherheitslücke CVE-2017-0038 in der Windows DLL gdi.dll, die das Auslesen von Speicherinhalten ermöglicht, hatte ich im Blog-Beitrag Windows: Zero-Day Schwachstelle in gdi.dll berichtet. Die Lücke ist seit November 2016 bei Microsoft bekannt. Über eine präparierte EMF-Datei kann ein Angreifer auf den Speicher zugreifen und möglicherweise Schadcode ausführen. Der Google Ingenieur Mateusz Jurczyk, der die Lücke entdeckt, gibt an:

"I have confirmed that the vulnerability reproduces both locally in Internet Explorer, and remotely in Office Online, via a .docx document containing the specially crafted EMF file."

Die Sicherheitslücke kann also über den Internet Explorer lokal und remote per Office Online ausgenutzt werden. Microsoft hat bisher keinen Patch bereitgestellt, möglicherweise auch, weil der Februar 2017 Patchday wegen unbekannter Gründe ausfallen musste (Verschobener Februar-Patchday – MS-Server kompromittiert?).

Temporärer Fix von Dritten

Luka Treiber, vom 0patch Team, hat jetzt in seinem Blog einen Fix für CVE-2017-0038 veröffentlicht. Treiber ist kein Microsoft-Entwickler, hatte aber ein wenig Zeit, in die Details der Sicherheitslücke hineinzuschauen. Der folgende Screenshot zeigt die Verwendung des IE zur Anzeige einer präparierten EMF-Datei und die Anzeige von Speicherdaten in Form eines Pixel-Musters.

Eine Auswertung der Daten zeigt, dass nur ein 4-Byte-Code-Fragment FF 33 33 FF aus der EMF-Datei stammt, während der Rest Heap-Daten aus dem ausgelesenen Speicher enthält. Nach Auswertung der Sachlage identifizierte er eine Funktion MRSETDIBITSTODEVICE::bPlay als die Quelle für die Sicherheitslücke.

Mit einem Debugger konnte er weitere Informationen über das Problem herausfinden. Von der Gruppe gibt es einen Patch-Agenten für Entwickler. Mit dem von Treiber entwickelten Code kann also jemand die Sicherheitslücke temporär schließen, in dem der Patch per Patch-Agent importiert wird. Das folgende Video demonstriert den Ansatz unter Windows 10.

(Quelle: YouTube)

Es ist natürlich keine Lösung für normale Anwender, denn die Installation eines Patch-Agenten und herumfummeln mit Patches bedeutet Aufwand und die Unsicherheit, ob danach noch alles funktioniert. Wird werden also auf den Fix von Microsoft warten müssen (ohne Gewähr, dass dann noch alles funktioniert). Die Episode zeigt aber, dass es durchaus die Möglichkeit für eine schnellere Lösung für Microsoft gegeben hätte. Aber die Lücke ist wohl nicht so gravierend, dass diese direkt geschlossen werden muss. (via)

Anzeige

Ähnliche Artikel:
SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server
Windows: Zero-Day Schwachstelle in gdi.dll
Weitere ungepatchte Sicherheitslücken in Edge und IE
Verschobener Februar-Patchday – MS-Server kompromittiert?

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.