Abo
  • Services:
Anzeige
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Ungepatchte Sicherheitslücke: Google legt sich erneut mit Microsoft an

Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.

Eine Sicherheitslücke in Microsofts Grafikinterface (Graphics Device Interface, GDI) wird noch rund einen Monat ungepatcht bleiben. Der von Googles Project Zero gefundene Fehler ist aktuell ohne Patch, nachdem Microsoft den Februar-Patchday zunächst verschoben und dann ganz abgesagt hatte. Das Unternehmen nannte Meldungen "in letzter Minute" als Grund für die Absage. Google folgt mit der Offenlegung der selbst gewählten Disclosure-Policy, nach der kritische Sicherheitslücken 90 Tage nach Meldungen an den Hersteller veröffentlicht werden, wenn es keinen Patch gibt.

Die Schwachstelle wurde von Googles Sicherheitsforscher Mateusz Jurczyk gefunden und trägt die Bezeichnung CVE-2017-0038. Betroffen ist das Graphics Device Interface (GDI) und damit die Schnittstelle zu den verschiedenen Grafikgeräten. Bereits im vergangenen März hatte Google einen Fehler in der GDI gefunden und an Microsoft gemeldet.

Anzeige

Microsoft-Update unvollständig

Mit dem Update MS16-074 hatte Microsoft bereits im vergangenen Jahr zahlreiche Probleme im GDI behoben, einige Probleme in der Speicherverwaltung blieben aber offensichtlich bestehen. Bei einigen Parametern wird nach wie vor nicht überprüft, ob diese in den vorgesehenen Speicherbereichen bleiben oder nicht.

Angreifer könnten durch Ausnutzen der Sicherheitslücke Speicherbereiche auslesen, zu denen sie eigentlich keinen Zugriff haben. Dazu müssen sie Device-Independent-Bitmpas (DIB) in EMF-Dateien einbinden. Das Enhanced Metafile Format (EMF) ermöglicht Geräte-unabhängige Beschreibung von Metadaten in Bildern. Angreifer könnten entsprechende Dateien in Mail-Anhängen oder über den Browser ausliefern.

Microsoft hatte Google nach Veröffentlichung einer ausgenutzten, kritischen Sicherheitslücke im vergangenen November öffentlich kritisiert. Damals hieß es: "Wir glauben an den Prozess der koordinierten Schwachstellenoffenlegung. Googles heutige Offenlegung der Schwachstelle gefährdet Nutzer". Aktuell wollte der Konzern auf Anfrage von Golem.de kein Statement zur Veröffentlichung von Google abgeben.


eye home zur Startseite
DerJustus 21. Feb 2017

Was meinste: Wird Google sich auch selbst öffentlich anzeigen? Ich glaube nicht. Ein...

Dieselmeister 21. Feb 2017

OT: Letztens habe ich von einem Wort aus der Finanzkrise gehört, was auch bei der...

sttn 21. Feb 2017

Microsoft weiß seit mehr als 90 Tagen von diesem schwerwiegenden Fehler und macht nichts...

hroessler 21. Feb 2017

Warum dann nicht gleich auf komplett auf DirectX bzw. Direct3D gehen? Besser noch...

Wallbreaker 21. Feb 2017

Das Problem von Android sind erstens die unsäglich mangelhaften proprietären...



Anzeige

Stellenmarkt
  1. Experis GmbH, Graben
  2. T-Systems International GmbH, Leinfelden-Echterdingen, München
  3. über Heidi Steinberger Human Resource Service, München
  4. Robert Bosch GmbH, Hildesheim


Anzeige
Spiele-Angebote
  1. ab 59,95€ (Vorbesteller-Preisgarantie)
  2. 44,99€ (Vorbesteller-Preisgarantie)
  3. (-33%) 9,99€

Folgen Sie uns
       


  1. Netzausrüster

    Nokia macht weiter hohen Verlust

  2. Alien Covenant In Utero

    Neomorph im VR-Brustkasten

  3. Smarter Lautsprecher

    Google Home assistiert beim Kochen

  4. id Software

    "Global Illumination ist derzeit die größte Herausforderung"

  5. Echo Look

    Amazon stellt erste Kamera mit Alexa vor

  6. e.GO Life

    Elektroauto aus Deutschland für 15.900 Euro

  7. Apple

    App schaltet Touch Bar des Macbook Pro ab

  8. Deutscher Computerspielpreis

    Portal Knights ist das "Beste Deutsche Spiel" 2017

  9. Sledgehammer Games

    Call of Duty WW2 und die Befreiung von Europa

  10. Elektroauto

    VW testet E-Trucks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

  1. Re: sabber ...

    MonkeyKing | 11:13

  2. Re: 4.9 Sekunden von 0 auf ..... achso... oh...

    azeu | 11:13

  3. Re: Weis nicht...

    Niaxa | 11:12

  4. Re: Nur 3x gekotzt

    M.P. | 11:12

  5. Re: Besser wäre ne 10% Blockbusterquote für...

    u just got pwnd | 11:11


  1. 11:10

  2. 10:54

  3. 09:52

  4. 09:00

  5. 08:50

  6. 07:37

  7. 07:12

  8. 23:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel