Wie Microsoft in einer Stellungnahme vergangene Woche mitteilte, können Angreifer schadhaften Code mit Hilfe von simplen JPEG-Dateien auf die Rechner fremder User schmuggeln. Möglich ist dies mal wieder durch einen Pufferüberlauf (man sollte diesen Begriff zum Unwort des Jahres 2004 vorschlagen). Wenn ein Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten.
Ursache der Lücke ist ein Fehlers in der Datei GDIPlus.dll, die zum Beispiel auch der Internet Explorer nutzt. Betroffen ist doch nicht nur der IE 6 und Outlook Express, sondern auch das .NET Framework Version 1.0 Service Pack 2 und das .NET Framework, Version 1.1. Microsoft stellt mittlerweile Patches dafür bereit.
Doch selbst das Einspielen aller aktuellen Patches kann die Sicherheitslücke offenbar nicht komplett schließen. Spiegel Online dazu:
Der Grund dafür sei ein "Wirrwarr möglicher verwundbarer DLLs in Windows", heißt es. Viele Anwendungen lieferten ihre eigenen Versionen mit. Die Patches von Microsoft würden verwundbare DLLs von Drittanbietern nicht aufspüren, das System bleibe weiter gefährdet.
Nachdem Sicherheitsexperten zwei Wochen lang über die das Gefahrenpotential der JPEG-Lücke diskutiert haben, sind nun offenbar die ersten so genannten Exploits aufgetaucht, die die Lücke ausnutzen. Nach einem Bericht von BBC Online sind am Wochenende erste JPEG-Schädlinge in einer Porno-Newsgroup aufgetaucht. Sobald das Bild von einem verwundbaren System aus geöffnet werde, nehme dieses System Kontakt zu einem Webserver auf, um von dort ein Programm herunter zu laden, das das System für Angreifer öffne.
Eine Personal Firewall, die den Outgoing Traffic auf bestimmte Anwendungen beschränkt, kann hier bereits das Schlimmste Verhindern. THX HerrKaLeun für den Hinweis
Update Nun kommt auch der erste JPEG-Virus aus der Versenkung emporgekrochen: AOL-User erhalten seit kurzen über den hauseigenen IM-Dienst Nachrichten, die sie direkt zu Webseiten mit infizierten JPEG-Bildern führen. Wird diese Webseite besucht, wird der Rechner durch den Pufferüberlauf infiziert, in dem der eingebettete Code gestartet wird. Anschließend versendet der Computer dieselbe Nachricht an andere User aus der IM-Kontaktliste weiter.
Diesen Artikel bookmarken oder senden an ...
