Abo
  • Services:
Anzeige
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Ungepatchte Sicherheitslücke: Google legt sich erneut mit Microsoft an

Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.

Eine Sicherheitslücke in Microsofts Grafikinterface (Graphics Device Interface, GDI) wird noch rund einen Monat ungepatcht bleiben. Der von Googles Project Zero gefundene Fehler ist aktuell ohne Patch, nachdem Microsoft den Februar-Patchday zunächst verschoben und dann ganz abgesagt hatte. Das Unternehmen nannte Meldungen "in letzter Minute" als Grund für die Absage. Google folgt mit der Offenlegung der selbst gewählten Disclosure-Policy, nach der kritische Sicherheitslücken 90 Tage nach Meldungen an den Hersteller veröffentlicht werden, wenn es keinen Patch gibt.

Die Schwachstelle wurde von Googles Sicherheitsforscher Mateusz Jurczyk gefunden und trägt die Bezeichnung CVE-2017-0038. Betroffen ist das Graphics Device Interface (GDI) und damit die Schnittstelle zu den verschiedenen Grafikgeräten. Bereits im vergangenen März hatte Google einen Fehler in der GDI gefunden und an Microsoft gemeldet.

Anzeige

Microsoft-Update unvollständig

Mit dem Update MS16-074 hatte Microsoft bereits im vergangenen Jahr zahlreiche Probleme im GDI behoben, einige Probleme in der Speicherverwaltung blieben aber offensichtlich bestehen. Bei einigen Parametern wird nach wie vor nicht überprüft, ob diese in den vorgesehenen Speicherbereichen bleiben oder nicht.

Angreifer könnten durch Ausnutzen der Sicherheitslücke Speicherbereiche auslesen, zu denen sie eigentlich keinen Zugriff haben. Dazu müssen sie Device-Independent-Bitmpas (DIB) in EMF-Dateien einbinden. Das Enhanced Metafile Format (EMF) ermöglicht Geräte-unabhängige Beschreibung von Metadaten in Bildern. Angreifer könnten entsprechende Dateien in Mail-Anhängen oder über den Browser ausliefern.

Microsoft hatte Google nach Veröffentlichung einer ausgenutzten, kritischen Sicherheitslücke im vergangenen November öffentlich kritisiert. Damals hieß es: "Wir glauben an den Prozess der koordinierten Schwachstellenoffenlegung. Googles heutige Offenlegung der Schwachstelle gefährdet Nutzer". Aktuell wollte der Konzern auf Anfrage von Golem.de kein Statement zur Veröffentlichung von Google abgeben.


eye home zur Startseite
DerJustus 21. Feb 2017

Was meinste: Wird Google sich auch selbst öffentlich anzeigen? Ich glaube nicht. Ein...

Dieselmeister 21. Feb 2017

OT: Letztens habe ich von einem Wort aus der Finanzkrise gehört, was auch bei der...

sttn 21. Feb 2017

Microsoft weiß seit mehr als 90 Tagen von diesem schwerwiegenden Fehler und macht nichts...

hroessler 21. Feb 2017

Warum dann nicht gleich auf komplett auf DirectX bzw. Direct3D gehen? Besser noch...

Wallbreaker 21. Feb 2017

Das Problem von Android sind erstens die unsäglich mangelhaften proprietären...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Essen
  2. Daimler AG, Neu-Ulm
  3. Sattel Business Solutions GmbH, Langenau
  4. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln


Anzeige
Spiele-Angebote
  1. 119,99€ (Vorbesteller-Preisgarantie)
  2. 99,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Ransomware

    Locky kehrt erneut zurück

  2. Sammelklage gegen We-Vibe

    Vibratorhersteller zahlt Entschädigung in Millionenhöhe

  3. Kartendienst

    Google führt Frage-Antwort-Sektion bei Maps ein

  4. Ford-Patent

    Autonome Autos sollen abnehmbare Lenkräder bekommen

  5. Elektroauto

    Lina kann kompostiert werden

  6. Radeon RX Vega 56 im Test

    AMD positioniert sich in der Mitte

  7. The Patent Scam

    X-Plane-Macher veröffentlicht Film über Patenttrolle

  8. Uncharted The Lost Legacy im Test

    Abenteuer mit voller Frauenpower

  9. Nokia 8

    Top-Smartphone mit Zeiss-Optik und 360-Grad-Audio

  10. Frontrow

    Halskette als Kamera zum Dauerfilmen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

  1. Re: Zeiss Kamera

    TrollNo1 | 11:20

  2. Re: Wird vermutlich trotzdem nichts ändern

    Psy2063 | 11:20

  3. Re: Die unscheinbare Kameraöffnung dürfte kaum...

    Prinzeumel | 11:18

  4. Re: Erst Deutsche Kommerzliga? Nein, danke...

    krakos | 11:18

  5. Re: 5¤ im Monat um zu sehen wie Bayern Meister wird

    krakos | 11:16


  1. 11:33

  2. 11:04

  3. 10:51

  4. 10:36

  5. 10:21

  6. 10:00

  7. 09:54

  8. 09:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel