Abo
  • Services:
Anzeige
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Ungepatchte Sicherheitslücke: Google legt sich erneut mit Microsoft an

Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.

Eine Sicherheitslücke in Microsofts Grafikinterface (Graphics Device Interface, GDI) wird noch rund einen Monat ungepatcht bleiben. Der von Googles Project Zero gefundene Fehler ist aktuell ohne Patch, nachdem Microsoft den Februar-Patchday zunächst verschoben und dann ganz abgesagt hatte. Das Unternehmen nannte Meldungen "in letzter Minute" als Grund für die Absage. Google folgt mit der Offenlegung der selbst gewählten Disclosure-Policy, nach der kritische Sicherheitslücken 90 Tage nach Meldungen an den Hersteller veröffentlicht werden, wenn es keinen Patch gibt.

Die Schwachstelle wurde von Googles Sicherheitsforscher Mateusz Jurczyk gefunden und trägt die Bezeichnung CVE-2017-0038. Betroffen ist das Graphics Device Interface (GDI) und damit die Schnittstelle zu den verschiedenen Grafikgeräten. Bereits im vergangenen März hatte Google einen Fehler in der GDI gefunden und an Microsoft gemeldet.

Anzeige

Microsoft-Update unvollständig

Mit dem Update MS16-074 hatte Microsoft bereits im vergangenen Jahr zahlreiche Probleme im GDI behoben, einige Probleme in der Speicherverwaltung blieben aber offensichtlich bestehen. Bei einigen Parametern wird nach wie vor nicht überprüft, ob diese in den vorgesehenen Speicherbereichen bleiben oder nicht.

Angreifer könnten durch Ausnutzen der Sicherheitslücke Speicherbereiche auslesen, zu denen sie eigentlich keinen Zugriff haben. Dazu müssen sie Device-Independent-Bitmpas (DIB) in EMF-Dateien einbinden. Das Enhanced Metafile Format (EMF) ermöglicht Geräte-unabhängige Beschreibung von Metadaten in Bildern. Angreifer könnten entsprechende Dateien in Mail-Anhängen oder über den Browser ausliefern.

Microsoft hatte Google nach Veröffentlichung einer ausgenutzten, kritischen Sicherheitslücke im vergangenen November öffentlich kritisiert. Damals hieß es: "Wir glauben an den Prozess der koordinierten Schwachstellenoffenlegung. Googles heutige Offenlegung der Schwachstelle gefährdet Nutzer". Aktuell wollte der Konzern auf Anfrage von Golem.de kein Statement zur Veröffentlichung von Google abgeben.


eye home zur Startseite
DerJustus 21. Feb 2017

Was meinste: Wird Google sich auch selbst öffentlich anzeigen? Ich glaube nicht. Ein...

Dieselmeister 21. Feb 2017

OT: Letztens habe ich von einem Wort aus der Finanzkrise gehört, was auch bei der...

sttn 21. Feb 2017

Microsoft weiß seit mehr als 90 Tagen von diesem schwerwiegenden Fehler und macht nichts...

hroessler 21. Feb 2017

Warum dann nicht gleich auf komplett auf DirectX bzw. Direct3D gehen? Besser noch...

Wallbreaker 21. Feb 2017

Das Problem von Android sind erstens die unsäglich mangelhaften proprietären...



Anzeige

Stellenmarkt
  1. ENERTRAG Aktiengesellschaft, Dauerthal, Berlin, Edemissen
  2. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg
  3. twocream, Wuppertal
  4. Bundesdruckerei GmbH, Berlin


Anzeige
Hardware-Angebote
  1. 444,00€ + 4,99€ Versand
  2. täglich neue Deals

Folgen Sie uns
       


  1. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  2. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  3. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  4. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  5. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  6. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  7. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  8. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  9. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  10. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wanna Cry: Wo die NSA-Exploits gewütet haben
Wanna Cry
Wo die NSA-Exploits gewütet haben
  1. Deutsche Bahn Schadsoftware lässt Anzeigetafeln auf Bahnhöfen ausfallen
  2. Wanna Cry NSA-Exploits legen weltweit Windows-Rechner lahm
  3. Mc Donald's Fatboy-Ransomware nutzt Big-Mac-Index zur Preisermittlung

Komplett-PC Corsair One Pro im Test: Kompakt, kräftig, kühl
Komplett-PC Corsair One Pro im Test
Kompakt, kräftig, kühl
  1. Corsair One Pro Doppelt wassergekühlter SFF-Rechner kostet 2.500 Euro

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

  1. Re: Preis für was?

    WonderGoal | 16:24

  2. Re: Itx gehäuse immer teurer?

    mgra | 16:24

  3. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    Kleba | 16:23

  4. Re: Akito Thunder 2 + Macbook

    WonderGoal | 16:18

  5. Re: Unix, das Betriebssystem von Entwicklern, für...

    hum4n0id3 | 16:17


  1. 10:10

  2. 09:59

  3. 09:00

  4. 18:58

  5. 18:20

  6. 17:59

  7. 17:44

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel