Google hat Details zu einer Sicherheitslücke in Windows öffentlich gemacht, für die Microsoft bisher noch keinen Patch anbietet. Entdeckt wurde die Anfälligkeit von Mateusz Jurczyk, Sicherheitsforscher bei Google. Ein Angreifer kann mit ihrer Hilfe unter Umständen vertrauliche Informationen auslesen.

Microsoft weiss schon seit 17. November von dem Bug. Die Veröffentlichung erfolgte nun, weil der Softwarekonzern die von Google gesetzte Frist von 90 Tagen für die Entwicklung eines Updates nicht eingehalten hat. Unklar ist, ob Microsoft das Update für den kurzfristig abgesagten Februar-Patchday eingeplant hatte, um eine frühzeitige Offenlegung des Bugs zu verhindern.

Der Fehler steckt in der Grafikbibliothek gdi32.dll. Er tritt bei der Verarbeitung von geräteunabhängigen Bitmaps auf, die in Grafiken im Windows-Enhanced-Metafile-Format (EMF) eingebettet sind. „Als Folge ist es möglich, nicht initialisierte oder Out-of-bounds Heap-Bytes per Pixel-Farben in Internet Explorer und anderen GDI-Clients offenzulegen, was das Auslesen von Bilddaten erlaubt.“

Der Fehler lasse sich damit im Internet Explorer oder auch aus der Ferne in Office Online reproduzieren, beispielsweise mit einem Word-Dokument im docx-Format, das die präparierte EMF-Datei enthalte.

Seit Anfang Februar ist zudem eine Zero-Day-Lücke in Windows SMB bekannt. Sie ermöglicht Denial-of-Service-Angriffe auf betroffene Systeme, was zu einem Absturz von Windows führen kann. Außerdem sind seit dem 14. Februar mehrere kritische Sicherheitslücken in Adobe Flash Player bekannt, für die Hacker nun Exploits entwickeln können. Nutzer von Internet Explorer 11 unter Windows 10 und 8.1 sowie Edge unter Windows 10 haben die zugehörigen Fixes jedoch noch nicht erhalten, weil auch sie durch die Absage des Februar-Patchdays erst im kommenden Monat zur Verfügung stehen werden.

(Quelle: zdnet.de)