Anzeige

Große Gefahr durch JPEG-Bilder für Microsoft-Applikationen

Schwerwiegende Sicherheitslücke bei Verarbeitung von JPEG-Dateien

Bei der Anzeige von JPEG-Dateien schlägt in zahlreichen Microsoft-Applikationen eine schwerwiegende Sicherheitslücke zu, die einem Angreifer die vollständige Kontrolle über ein fremdes System verschafft, sofern das angemeldete Opfer über Administratorrechte verfügt. Am September-2004-Patch-Day veröffentlichte Microsoft Patches für eine Reihe von Microsoft-Produkten, die alle von dem Sicherheitsrisiko betroffen sind.

Anzeige

Bei der Verarbeitung von JPEG-Bildern kann ein Buffer Overrun auftreten, worüber ein Angreifer Dateien öffnen oder löschen, Programme starten sowie neue Benutzerkonten anlegen kann, sofern das Opfer mit Administratorrechten angemeldet ist. Der Gefährdungsgrad sinkt, verschwindet aber nicht, falls das Opfer niedrigere Systemrechte besitzt.

Ein speziell formatiertes JPEG-Bild muss dazu lediglich in eine Webseite, ein Office-Dokument oder eine E-Mail eingebunden sein und dann mit einer entsprechenden Microsoft-Applikation geöffnet werden, damit das Sicherheitsloch ausgenutzt werden kann. Gleiches gilt auch, wenn eine solche JPEG-Datei auf einem beliebigen Datenträger liegt und mit einer Microsoft-Software angezeigt wird.

Da die für die Verarbeitung von JPEG-Dateien betroffene Komponente gdiplus.dll in verschiedenen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen aus Redmond davon betroffen. Dazu gehören der Internet Explorer 6.x, das .NET Framework sowie in der Standard-Konfiguration Windows XP mit und ohne Service Pack 1 sowie Windows Server 2003. Auch in zahlreichen Office-Applikationen und einer Reihe von Entwicklerwerkzeugen sowie Programmen zur Bildbearbeitung steckt dieses Sicherheitsleck. Eine ausführliche Übersicht der einzelnen Applikationen gibt das passende Security Bulletin.

Ein Patch für die zahlreichen, von der JPEG-Sicherheitslücke betroffenen Microsoft-Applikationen steht ab sofort über ein entsprechendes Security Bulletin zum Download bereit. Die Sicherheitslücke wurde mit dem Service Pack 2 für Windows XP bereits behoben, so dass dafür kein Patch benötigt wird.


eye home zur Startseite
kram 16. Sep 2004

jo,wer nix zu tun hat kauft nen rechner+inst. irgendwas von m$^^ schon is die langeweile...

kram 16. Sep 2004

sofort*hust* jaja,der heutige patch war ja auch sehr funktional... +workaround?noch...

kram 16. Sep 2004

laut dem,was ich finden konnte(+das war spaehrlich) jedes ms-os ab win 95+sogut wie jede...

kram 16. Sep 2004

*mitkotz og. exploit hat mir trotz (sinnlosem)patch(ja,es ist patchday)heute knapp 8h an...

Technikfreak 16. Sep 2004

da du wohl kaum Aktien an einem unkommerziellen Linux besitztst, frage ich mich, weshalb...

Kommentieren


Computerhilfen.de / 05. Aug 2005



Anzeige

  1. IT-Berater (m/w)
    cimt AG, Frankfurt
  2. Web Developer (m/w)
    Sevenval Technologies GmbH, Berlin
  3. IT Consultant Hybris Marketing (m/w)
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Big Data Spezialist (m/w)
    TenneT TSO GmbH, Bayreuth

Detailsuche



Anzeige
Blu-ray-Angebote
  1. 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)
  2. Game of Thrones [dt./OV] Staffel 6
    (jeden Dienstag ist eine neue Folge verfügbar)
  3. VORBESTELLBAR: BÖHSE FÜR'S LEBEN [Blu-ray]
    36,99€

Weitere Angebote


Folgen Sie uns
       


  1. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  2. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  3. Overwatch im Test

    Superhelden ohne Sammelsucht

  4. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen

  5. Streit der Tech-Milliardäre

    Ebay-Gründer unterstützt Gawker im Streit mit Hulk Hogan

  6. Siri-Lautsprecher

    Apple setzt auf Horch und Guck

  7. Soylent-Flüssignahrung

    Die Freiheit, nicht ans Essen zu denken

  8. Fraunhofer IPMS

    Multispektralkamera benötigt nur ein Objektiv

  9. Transformer 3 (Pro)

    Asus zeigt Detachables mit Kaby Lake

  10. Delock DL-89456

    Netzwerkkarte für 2.5 und 5GbE



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

Business-Notebooks im Überblick: Voll ausgestattet, dockingtauglich und trotzdem klein
Business-Notebooks im Überblick
Voll ausgestattet, dockingtauglich und trotzdem klein
  1. Elitebook 1030 G1 HPs Core-M-Notebook soll 13 Stunden durchhalten
  2. Windows 7 und 8.1 Microsoft verlängert den Skylake-Support
  3. Intel Authenticate Fingerabdruck und Bluetooth-Smartphone entsperren PC

  1. Re: Latenz < 1 ms

    Prinzeumel | 16:10

  2. Re: screen

    bofhl | 16:09

  3. Re: Soylent Green

    Phreeze | 16:09

  4. Re: Das ist exakt der Grund warum ich es nutze.

    neocron | 16:09

  5. Re: Ich finde das ein bisschen unfair Symantec...

    My1 | 16:07


  1. 15:57

  2. 15:15

  3. 14:00

  4. 13:28

  5. 13:08

  6. 12:54

  7. 12:02

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel