Abo
  • IT-Karriere:

Ungepatchte Sicherheitslücke: Google legt sich erneut mit Microsoft an

Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.

Artikel veröffentlicht am ,
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Eine Sicherheitslücke in Microsofts Grafikinterface (Graphics Device Interface, GDI) wird noch rund einen Monat ungepatcht bleiben. Der von Googles Project Zero gefundene Fehler ist aktuell ohne Patch, nachdem Microsoft den Februar-Patchday zunächst verschoben und dann ganz abgesagt hatte. Das Unternehmen nannte Meldungen "in letzter Minute" als Grund für die Absage. Google folgt mit der Offenlegung der selbst gewählten Disclosure-Policy, nach der kritische Sicherheitslücken 90 Tage nach Meldungen an den Hersteller veröffentlicht werden, wenn es keinen Patch gibt.

Stellenmarkt
  1. Universitätsmedizin Göttingen, Göttingen
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Die Schwachstelle wurde von Googles Sicherheitsforscher Mateusz Jurczyk gefunden und trägt die Bezeichnung CVE-2017-0038. Betroffen ist das Graphics Device Interface (GDI) und damit die Schnittstelle zu den verschiedenen Grafikgeräten. Bereits im vergangenen März hatte Google einen Fehler in der GDI gefunden und an Microsoft gemeldet.

Microsoft-Update unvollständig

Mit dem Update MS16-074 hatte Microsoft bereits im vergangenen Jahr zahlreiche Probleme im GDI behoben, einige Probleme in der Speicherverwaltung blieben aber offensichtlich bestehen. Bei einigen Parametern wird nach wie vor nicht überprüft, ob diese in den vorgesehenen Speicherbereichen bleiben oder nicht.

Angreifer könnten durch Ausnutzen der Sicherheitslücke Speicherbereiche auslesen, zu denen sie eigentlich keinen Zugriff haben. Dazu müssen sie Device-Independent-Bitmpas (DIB) in EMF-Dateien einbinden. Das Enhanced Metafile Format (EMF) ermöglicht Geräte-unabhängige Beschreibung von Metadaten in Bildern. Angreifer könnten entsprechende Dateien in Mail-Anhängen oder über den Browser ausliefern.

Microsoft hatte Google nach Veröffentlichung einer ausgenutzten, kritischen Sicherheitslücke im vergangenen November öffentlich kritisiert. Damals hieß es: "Wir glauben an den Prozess der koordinierten Schwachstellenoffenlegung. Googles heutige Offenlegung der Schwachstelle gefährdet Nutzer". Aktuell wollte der Konzern auf Anfrage von Golem.de kein Statement zur Veröffentlichung von Google abgeben.



Anzeige
Top-Angebote
  1. 749,00€
  2. 199,00€
  3. (u. a. Age of Wonders: Planetfall für 39,99€, Imperator: Rome für 23,99€, Stellaris für 9...
  4. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...

DerJustus 21. Feb 2017

Was meinste: Wird Google sich auch selbst öffentlich anzeigen? Ich glaube nicht. Ein...

Dieselmeister 21. Feb 2017

OT: Letztens habe ich von einem Wort aus der Finanzkrise gehört, was auch bei der...

sttn 21. Feb 2017

Microsoft weiß seit mehr als 90 Tagen von diesem schwerwiegenden Fehler und macht nichts...

hroessler 21. Feb 2017

Warum dann nicht gleich auf komplett auf DirectX bzw. Direct3D gehen? Besser noch...

Wallbreaker 21. Feb 2017

Das Problem von Android sind erstens die unsäglich mangelhaften proprietären...


Folgen Sie uns
       


Hallo Magenta und Alexa auf dem Smart Speaker der Telekom

Wetter, Allgemeinwissen, sächsische Aussprache - wir haben den Magenta-Assistenten gegen Alexa antreten lassen.

Hallo Magenta und Alexa auf dem Smart Speaker der Telekom Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

    •  /