Abo
  • Services:
Anzeige

Große Gefahr durch JPEG-Bilder für Microsoft-Applikationen

Schwerwiegende Sicherheitslücke bei Verarbeitung von JPEG-Dateien

Bei der Anzeige von JPEG-Dateien schlägt in zahlreichen Microsoft-Applikationen eine schwerwiegende Sicherheitslücke zu, die einem Angreifer die vollständige Kontrolle über ein fremdes System verschafft, sofern das angemeldete Opfer über Administratorrechte verfügt. Am September-2004-Patch-Day veröffentlichte Microsoft Patches für eine Reihe von Microsoft-Produkten, die alle von dem Sicherheitsrisiko betroffen sind.

Bei der Verarbeitung von JPEG-Bildern kann ein Buffer Overrun auftreten, worüber ein Angreifer Dateien öffnen oder löschen, Programme starten sowie neue Benutzerkonten anlegen kann, sofern das Opfer mit Administratorrechten angemeldet ist. Der Gefährdungsgrad sinkt, verschwindet aber nicht, falls das Opfer niedrigere Systemrechte besitzt.

Anzeige

Ein speziell formatiertes JPEG-Bild muss dazu lediglich in eine Webseite, ein Office-Dokument oder eine E-Mail eingebunden sein und dann mit einer entsprechenden Microsoft-Applikation geöffnet werden, damit das Sicherheitsloch ausgenutzt werden kann. Gleiches gilt auch, wenn eine solche JPEG-Datei auf einem beliebigen Datenträger liegt und mit einer Microsoft-Software angezeigt wird.

Da die für die Verarbeitung von JPEG-Dateien betroffene Komponente gdiplus.dll in verschiedenen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen aus Redmond davon betroffen. Dazu gehören der Internet Explorer 6.x, das .NET Framework sowie in der Standard-Konfiguration Windows XP mit und ohne Service Pack 1 sowie Windows Server 2003. Auch in zahlreichen Office-Applikationen und einer Reihe von Entwicklerwerkzeugen sowie Programmen zur Bildbearbeitung steckt dieses Sicherheitsleck. Eine ausführliche Übersicht der einzelnen Applikationen gibt das passende Security Bulletin.

Ein Patch für die zahlreichen, von der JPEG-Sicherheitslücke betroffenen Microsoft-Applikationen steht ab sofort über ein entsprechendes Security Bulletin zum Download bereit. Die Sicherheitslücke wurde mit dem Service Pack 2 für Windows XP bereits behoben, so dass dafür kein Patch benötigt wird.


eye home zur Startseite
kram 16. Sep 2004

jo,wer nix zu tun hat kauft nen rechner+inst. irgendwas von m$^^ schon is die langeweile...

kram 16. Sep 2004

sofort*hust* jaja,der heutige patch war ja auch sehr funktional... +workaround?noch...

kram 16. Sep 2004

laut dem,was ich finden konnte(+das war spaehrlich) jedes ms-os ab win 95+sogut wie jede...

kram 16. Sep 2004

*mitkotz og. exploit hat mir trotz (sinnlosem)patch(ja,es ist patchday)heute knapp 8h an...

Technikfreak 16. Sep 2004

da du wohl kaum Aktien an einem unkommerziellen Linux besitztst, frage ich mich, weshalb...


Computerhilfen.de / 05. Aug 2005



Anzeige

Stellenmarkt
  1. Media-Saturn IT-Services GmbH, Bayern
  2. Road Deutschland GmbH, Bretten bei Bruchsal
  3. über Hays AG, Baden-Württemberg
  4. DATAGROUP Inshore Services GmbH, Berlin, Leipzig, Rostock


Anzeige
Hardware-Angebote
  1. und Samsung Galaxy S7 edge, Galaxy S7 oder Galaxy Tab E gratis erhalten
  2. beim Kauf ausgewählter Gigabyte-Mainboards
  3. 1169,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  2. Kein Internet

    Nach Windows-Update weltweit Computer offline

  3. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  4. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  5. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  6. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  7. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI

  8. Redox OS

    Wer nicht rustet, rostet

  9. Star-Wars-Fanfilm

    Luke und Leia fliegen übers Wasser

  10. Sony

    Screen für Android Auto und Carplay kommt für 500 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Re: omfgwtfrly?

    Vaako | 16:29

  2. Dann bin ich wohl eine Ausnahme

    zoeck | 16:28

  3. Re: geHyptes Produkt - 99% der Leute können das...

    ArcherV | 16:28

  4. Re: Genau!

    Vaako | 16:26

  5. Re: Teilzeit Mitbeteiligter hier, AMA!

    stiGGG | 16:24


  1. 16:03

  2. 15:54

  3. 15:42

  4. 14:19

  5. 13:48

  6. 13:37

  7. 12:30

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel