Anzeige

Große Gefahr durch JPEG-Bilder für Microsoft-Applikationen

Schwerwiegende Sicherheitslücke bei Verarbeitung von JPEG-Dateien

Bei der Anzeige von JPEG-Dateien schlägt in zahlreichen Microsoft-Applikationen eine schwerwiegende Sicherheitslücke zu, die einem Angreifer die vollständige Kontrolle über ein fremdes System verschafft, sofern das angemeldete Opfer über Administratorrechte verfügt. Am September-2004-Patch-Day veröffentlichte Microsoft Patches für eine Reihe von Microsoft-Produkten, die alle von dem Sicherheitsrisiko betroffen sind.

Bei der Verarbeitung von JPEG-Bildern kann ein Buffer Overrun auftreten, worüber ein Angreifer Dateien öffnen oder löschen, Programme starten sowie neue Benutzerkonten anlegen kann, sofern das Opfer mit Administratorrechten angemeldet ist. Der Gefährdungsgrad sinkt, verschwindet aber nicht, falls das Opfer niedrigere Systemrechte besitzt.

Anzeige

Ein speziell formatiertes JPEG-Bild muss dazu lediglich in eine Webseite, ein Office-Dokument oder eine E-Mail eingebunden sein und dann mit einer entsprechenden Microsoft-Applikation geöffnet werden, damit das Sicherheitsloch ausgenutzt werden kann. Gleiches gilt auch, wenn eine solche JPEG-Datei auf einem beliebigen Datenträger liegt und mit einer Microsoft-Software angezeigt wird.

Da die für die Verarbeitung von JPEG-Dateien betroffene Komponente gdiplus.dll in verschiedenen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen aus Redmond davon betroffen. Dazu gehören der Internet Explorer 6.x, das .NET Framework sowie in der Standard-Konfiguration Windows XP mit und ohne Service Pack 1 sowie Windows Server 2003. Auch in zahlreichen Office-Applikationen und einer Reihe von Entwicklerwerkzeugen sowie Programmen zur Bildbearbeitung steckt dieses Sicherheitsleck. Eine ausführliche Übersicht der einzelnen Applikationen gibt das passende Security Bulletin.

Ein Patch für die zahlreichen, von der JPEG-Sicherheitslücke betroffenen Microsoft-Applikationen steht ab sofort über ein entsprechendes Security Bulletin zum Download bereit. Die Sicherheitslücke wurde mit dem Service Pack 2 für Windows XP bereits behoben, so dass dafür kein Patch benötigt wird.


eye home zur Startseite
kram 16. Sep 2004

jo,wer nix zu tun hat kauft nen rechner+inst. irgendwas von m$^^ schon is die langeweile...

kram 16. Sep 2004

sofort*hust* jaja,der heutige patch war ja auch sehr funktional... +workaround?noch...

kram 16. Sep 2004

laut dem,was ich finden konnte(+das war spaehrlich) jedes ms-os ab win 95+sogut wie jede...

kram 16. Sep 2004

*mitkotz og. exploit hat mir trotz (sinnlosem)patch(ja,es ist patchday)heute knapp 8h an...

Technikfreak 16. Sep 2004

da du wohl kaum Aktien an einem unkommerziellen Linux besitztst, frage ich mich, weshalb...


Computerhilfen.de / 05. Aug 2005



Anzeige

Stellenmarkt
  1. SCHUBERTH GRUPPE, Magdeburg
  2. Vodafone D2 GmbH, Düsseldorf
  3. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  4. über SCHLAGHECK RADTKE OLDIGES GMBH executive consultants, Nordrhein-Westfalen oder Großraum Berlin


Anzeige
Spiele-Angebote
  1. 134,98€
  2. 59,99€ (Vorbesteller-Preisgarantie)
  3. 2,49€

Folgen Sie uns
       


  1. Layer-2-Bitstrom

    Bundesagentur fordert 100-MBit/s-Zugang für 19 Euro

  2. Thomson Reuters

    Terrordatenbank World-Check im Netz zu finden

  3. Linux-Distribution

    Ubuntu diskutiert Ende der 32-Bit-Unterstützung

  4. Anrufweiterschaltung

    Bundesnetzagentur schaltet falsche Ortsnetznummern ab

  5. Radeon RX 480 im Test

    Eine bessere Grafikkarte gibt es für den Preis nicht

  6. Overwatch

    Ranglistenspiele mit kleinen Hindernissen

  7. Fraunhofer SIT

    Volksverschlüsselung startet ohne Quellcode

  8. Axon 7 im Hands on

    Oneplus bekommt starke Konkurrenz

  9. Brexit

    Vodafone prüft Umzug des Konzernsitzes aus UK

  10. Patent

    Apple will Konzertaufnahmen verhindern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Battlefield 1 angespielt: Zeppeline, Sperrfeuer und die Wiedergeburtsspritze
Battlefield 1 angespielt
Zeppeline, Sperrfeuer und die Wiedergeburtsspritze
  1. Electronic Arts Battlefield 1 mit Wetter und Titanfall 2 mit Kampagne
  2. Dice Battlefield 1 spielt im Ersten Weltkrieg

Trials of the Blood Dragon im Test: Motorräder im B-Movie-Rausch
Trials of the Blood Dragon im Test
Motorräder im B-Movie-Rausch
  1. Anki Cozmo Kleiner Roboter als eigensinniger Spielkamerad
  2. Crowdfunding Echtwelt-Survival-Spiel Reroll gescheitert
  3. Anki Overdrive Mit dem Truck auf der Rennbahn

Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Darknet-Handel Nutzerdaten von Telekom-Kunden werden verkauft
  2. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

  1. Sensation! Firma baut Tortendrucker:

    Keridalspidialose | 02:25

  2. Re: Das wird die EU retten!

    /mecki78 | 01:48

  3. TUXEDO Mangelhaft - fehlende Rückzahlung

    feram | 01:06

  4. Re: bei den Preisen...

    Feuerfred | 00:53

  5. Re: Und hier nun der Beweis: An eine 1070 reicht...

    Unix_Linux | 00:47


  1. 18:14

  2. 18:02

  3. 16:05

  4. 15:12

  5. 15:00

  6. 14:45

  7. 14:18

  8. 12:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel