Abo
  • Services:
Anzeige

Große Gefahr durch JPEG-Bilder für Microsoft-Applikationen

Schwerwiegende Sicherheitslücke bei Verarbeitung von JPEG-Dateien

Bei der Anzeige von JPEG-Dateien schlägt in zahlreichen Microsoft-Applikationen eine schwerwiegende Sicherheitslücke zu, die einem Angreifer die vollständige Kontrolle über ein fremdes System verschafft, sofern das angemeldete Opfer über Administratorrechte verfügt. Am September-2004-Patch-Day veröffentlichte Microsoft Patches für eine Reihe von Microsoft-Produkten, die alle von dem Sicherheitsrisiko betroffen sind.

Bei der Verarbeitung von JPEG-Bildern kann ein Buffer Overrun auftreten, worüber ein Angreifer Dateien öffnen oder löschen, Programme starten sowie neue Benutzerkonten anlegen kann, sofern das Opfer mit Administratorrechten angemeldet ist. Der Gefährdungsgrad sinkt, verschwindet aber nicht, falls das Opfer niedrigere Systemrechte besitzt.

Anzeige

Ein speziell formatiertes JPEG-Bild muss dazu lediglich in eine Webseite, ein Office-Dokument oder eine E-Mail eingebunden sein und dann mit einer entsprechenden Microsoft-Applikation geöffnet werden, damit das Sicherheitsloch ausgenutzt werden kann. Gleiches gilt auch, wenn eine solche JPEG-Datei auf einem beliebigen Datenträger liegt und mit einer Microsoft-Software angezeigt wird.

Da die für die Verarbeitung von JPEG-Dateien betroffene Komponente gdiplus.dll in verschiedenen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen aus Redmond davon betroffen. Dazu gehören der Internet Explorer 6.x, das .NET Framework sowie in der Standard-Konfiguration Windows XP mit und ohne Service Pack 1 sowie Windows Server 2003. Auch in zahlreichen Office-Applikationen und einer Reihe von Entwicklerwerkzeugen sowie Programmen zur Bildbearbeitung steckt dieses Sicherheitsleck. Eine ausführliche Übersicht der einzelnen Applikationen gibt das passende Security Bulletin.

Ein Patch für die zahlreichen, von der JPEG-Sicherheitslücke betroffenen Microsoft-Applikationen steht ab sofort über ein entsprechendes Security Bulletin zum Download bereit. Die Sicherheitslücke wurde mit dem Service Pack 2 für Windows XP bereits behoben, so dass dafür kein Patch benötigt wird.


eye home zur Startseite
kram 16. Sep 2004

jo,wer nix zu tun hat kauft nen rechner+inst. irgendwas von m$^^ schon is die langeweile...

kram 16. Sep 2004

sofort*hust* jaja,der heutige patch war ja auch sehr funktional... +workaround?noch...

kram 16. Sep 2004

laut dem,was ich finden konnte(+das war spaehrlich) jedes ms-os ab win 95+sogut wie jede...

kram 16. Sep 2004

*mitkotz og. exploit hat mir trotz (sinnlosem)patch(ja,es ist patchday)heute knapp 8h an...

Technikfreak 16. Sep 2004

da du wohl kaum Aktien an einem unkommerziellen Linux besitztst, frage ich mich, weshalb...


Computerhilfen.de / 05. Aug 2005



Anzeige

Stellenmarkt
  1. TOMRA SYSTEMS GmbH, Langenfeld
  2. T-Systems International GmbH, Leinfelden-Echterdingen, Saarbrücken
  3. Deutsche Telekom AG, Bonn, Darmstadt
  4. über Hanseatisches Personalkontor München, Großraum München


Anzeige
Spiele-Angebote
  1. 23,99€
  2. 6,99€
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  2. Instant Tethering

    Googles automatischer WLAN-Hotspot

  3. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  4. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  5. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  6. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  7. Funkchips

    Apple klagt gegen Qualcomm

  8. Die Woche im Video

    B/ow the Wh:st/e!

  9. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  10. TLS-Zertifikate

    Symantec verpeilt es schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Samsungs Bixby Galaxy S8 kann sehen und erkennen
  2. Smartphones Textnachricht legt iPhone zeitweise lahm
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Bundestagswahl 2017: Verschont uns mit Digitalisierungs-Blabla 4.0!
Bundestagswahl 2017
Verschont uns mit Digitalisierungs-Blabla 4.0!
  1. Bundestagswahlkampf 2017 Die große Angst vor dem Internet
  2. Hackerangriffe BSI will Wahlmanipulationen bekämpfen

  1. Technikgläubigkeit...

    B.I.G | 03:03

  2. Re: Bandbreitendiebstahl?

    MaxBub | 02:56

  3. Re: und nun?

    GenXRoad | 02:26

  4. Re: Hyperloop BUSTED!

    Eheran | 02:20

  5. Re: Nicht nur auf dem Land

    GenXRoad | 02:10


  1. 11:29

  2. 10:37

  3. 10:04

  4. 16:49

  5. 14:09

  6. 12:44

  7. 11:21

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel