Google entdeckt neue Zero-Day-Lücke in Windows

von | Feb 20, 2017 | IT Sicherheit |

Ein Sicherheitsforscher von Googles Project Zero hat eine Zero-Day-Lücke in Microsoft Windows entdeckt. Durch einen Speicherverarbeitungsfehler beim Öffnen von Windows Metafiles können Angreifer Zugriff auf Teile des Speichers bekommen, für den ihnen die Berechtigung fehlt.

Derzeit hat Microsoft noch keinen Patch für die Sicherheitslücke CVE-2017-0038. Google meldete die Lücke bereits vor 90 Tagen an Microsoft und veröffentlichte nun diese Information. Laut Google dürfte es sich bei der Schwachstelle um eine Folge einer mit dem Update MS16-074 im Juni des letzten Jahres geschlossene Lücke handeln. Ein Fehler in der Programmierung der Grafikbibliothek GDI des Windows-Kernels ermöglicht es dabei nicht berechtigten Usern Speicherinhalte auszulesen. Die Sicherheitslücke ist sowohl mit Hilfe des Internet Explorers als auch über Mail-Attachement – sofern diese über MS Office geöffnet werden – ausnutzbar.

Vermutlich hätte die Lücke mit einem Update des Februar-Patchdays, den Microsoft allerdings aus nicht genannten Gründen verschoben hat, geschlossen werden sollen. Es sieht so aus, als müssten Windows-User sich bis März gedulden, um eine abgesicherte Version der Software zu erhalten.

a

Textquellen & Links

Hier gibt’s mehr Infos zur Zero-Day-Lücke:
heise.de

 

a

Zur Seite ...

IT Sicherheit
IT-Wartung