Abo
  • Services:
Anzeige
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Ungepatchte Sicherheitslücke: Google legt sich erneut mit Microsoft an

Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.

Eine Sicherheitslücke in Microsofts Grafikinterface (Graphics Device Interface, GDI) wird noch rund einen Monat ungepatcht bleiben. Der von Googles Project Zero gefundene Fehler ist aktuell ohne Patch, nachdem Microsoft den Februar-Patchday zunächst verschoben und dann ganz abgesagt hatte. Das Unternehmen nannte Meldungen "in letzter Minute" als Grund für die Absage. Google folgt mit der Offenlegung der selbst gewählten Disclosure-Policy, nach der kritische Sicherheitslücken 90 Tage nach Meldungen an den Hersteller veröffentlicht werden, wenn es keinen Patch gibt.

Die Schwachstelle wurde von Googles Sicherheitsforscher Mateusz Jurczyk gefunden und trägt die Bezeichnung CVE-2017-0038. Betroffen ist das Graphics Device Interface (GDI) und damit die Schnittstelle zu den verschiedenen Grafikgeräten. Bereits im vergangenen März hatte Google einen Fehler in der GDI gefunden und an Microsoft gemeldet.

Anzeige

Microsoft-Update unvollständig

Mit dem Update MS16-074 hatte Microsoft bereits im vergangenen Jahr zahlreiche Probleme im GDI behoben, einige Probleme in der Speicherverwaltung blieben aber offensichtlich bestehen. Bei einigen Parametern wird nach wie vor nicht überprüft, ob diese in den vorgesehenen Speicherbereichen bleiben oder nicht.

Angreifer könnten durch Ausnutzen der Sicherheitslücke Speicherbereiche auslesen, zu denen sie eigentlich keinen Zugriff haben. Dazu müssen sie Device-Independent-Bitmpas (DIB) in EMF-Dateien einbinden. Das Enhanced Metafile Format (EMF) ermöglicht Geräte-unabhängige Beschreibung von Metadaten in Bildern. Angreifer könnten entsprechende Dateien in Mail-Anhängen oder über den Browser ausliefern.

Microsoft hatte Google nach Veröffentlichung einer ausgenutzten, kritischen Sicherheitslücke im vergangenen November öffentlich kritisiert. Damals hieß es: "Wir glauben an den Prozess der koordinierten Schwachstellenoffenlegung. Googles heutige Offenlegung der Schwachstelle gefährdet Nutzer". Aktuell wollte der Konzern auf Anfrage von Golem.de kein Statement zur Veröffentlichung von Google abgeben.


eye home zur Startseite
DerJustus 21. Feb 2017

Was meinste: Wird Google sich auch selbst öffentlich anzeigen? Ich glaube nicht. Ein...

Themenstart

Dieselmeister 21. Feb 2017

OT: Letztens habe ich von einem Wort aus der Finanzkrise gehört, was auch bei der...

Themenstart

sttn 21. Feb 2017

Microsoft weiß seit mehr als 90 Tagen von diesem schwerwiegenden Fehler und macht nichts...

Themenstart

hroessler 21. Feb 2017

Warum dann nicht gleich auf komplett auf DirectX bzw. Direct3D gehen? Besser noch...

Themenstart

Wallbreaker 21. Feb 2017

Das Problem von Android sind erstens die unsäglich mangelhaften proprietären...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Daimler AG, Sindelfingen
  2. Daimler AG, Ludwigsfelde
  3. MT AG, Ratingen bei Düsseldorf, Köln, Dortmund, Frankfurt am Main
  4. Infokom GmbH, Karlsruhe


Anzeige
Top-Angebote
  1. (-17%) 49,99€
  2. 47,99€
  3. und For Honor oder Ghost Recon Wildlands kostenlos erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  2. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  3. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  4. Messenger

    Facebook sagt "Daumen runter"

  5. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  6. Overwatch

    Blizzard will bessere Beschwerden

  7. Mobilfunk

    Nokia nutzt LTE bei 600 MHz erfolgreich

  8. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  9. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler

  10. Hannover

    Die Sommer-Cebit wird teuer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Countdown für Andromeda
  2. Mass Effect 4 Ansel und Early Access für Andromeda
  3. Mass Effect Abflugtermin in die Andromedagalaxie

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  2. Instandsetzung Apple macht iPhone-Reparaturen teurer
  3. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer

  1. Re: daten zu einer sache machen...

    User_x | 00:49

  2. Re: Früher...

    Smincke | 00:29

  3. Re: Beschwert ihr euch?

    bjs | 00:28

  4. Re: Keine Ahnung warum die Leute Probleme haben.....

    ArcherV | 00:24

  5. Re: Zensur durch die Hintertür

    ArcherV | 00:23


  1. 18:26

  2. 18:18

  3. 18:08

  4. 17:39

  5. 16:50

  6. 16:24

  7. 15:46

  8. 14:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel