Ungepatchte Sicherheitslücke: Google legt sich erneut mit Microsoft an

Schon im November hatte es Ärger zwischen Microsoft und Google um die Offenlegung einer Sicherheitslücke gegeben. Jetzt legt Project Zero nach und veröffentlicht Details zu einer ungepatchten Lücke im Windows Graphics Device Interface.

Artikel veröffentlicht am ,
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung.
Dieses Mal reagiert Microsoft erstmal nicht auf Googles Veröffentlichung. (Bild: Lucy Nicholson/Reuters)

Eine Sicherheitslücke in Microsofts Grafikinterface (Graphics Device Interface, GDI) wird noch rund einen Monat ungepatcht bleiben. Der von Googles Project Zero gefundene Fehler ist aktuell ohne Patch, nachdem Microsoft den Februar-Patchday zunächst verschoben und dann ganz abgesagt hatte. Das Unternehmen nannte Meldungen "in letzter Minute" als Grund für die Absage. Google folgt mit der Offenlegung der selbst gewählten Disclosure-Policy, nach der kritische Sicherheitslücken 90 Tage nach Meldungen an den Hersteller veröffentlicht werden, wenn es keinen Patch gibt.

Die Schwachstelle wurde von Googles Sicherheitsforscher Mateusz Jurczyk gefunden und trägt die Bezeichnung CVE-2017-0038. Betroffen ist das Graphics Device Interface (GDI) und damit die Schnittstelle zu den verschiedenen Grafikgeräten. Bereits im vergangenen März hatte Google einen Fehler in der GDI gefunden und an Microsoft gemeldet.

Microsoft-Update unvollständig

Mit dem Update MS16-074 hatte Microsoft bereits im vergangenen Jahr zahlreiche Probleme im GDI behoben, einige Probleme in der Speicherverwaltung blieben aber offensichtlich bestehen. Bei einigen Parametern wird nach wie vor nicht überprüft, ob diese in den vorgesehenen Speicherbereichen bleiben oder nicht.

Angreifer könnten durch Ausnutzen der Sicherheitslücke Speicherbereiche auslesen, zu denen sie eigentlich keinen Zugriff haben. Dazu müssen sie Device-Independent-Bitmpas (DIB) in EMF-Dateien einbinden. Das Enhanced Metafile Format (EMF) ermöglicht Geräte-unabhängige Beschreibung von Metadaten in Bildern. Angreifer könnten entsprechende Dateien in Mail-Anhängen oder über den Browser ausliefern.

Microsoft hatte Google nach Veröffentlichung einer ausgenutzten, kritischen Sicherheitslücke im vergangenen November öffentlich kritisiert. Damals hieß es: "Wir glauben an den Prozess der koordinierten Schwachstellenoffenlegung. Googles heutige Offenlegung der Schwachstelle gefährdet Nutzer". Aktuell wollte der Konzern auf Anfrage von Golem.de kein Statement zur Veröffentlichung von Google abgeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Windows Catalog
Microsoft verteilt Spectre-Patches künftig selbst
artikel-bild
Telekommunikationsdienst
Der EuGH muss über Gmail urteilen
artikel-bild
Security
Kopierschutz von Microsofts UWP ist nicht mehr unknackbar
Meistgelesen
artikel-bild
US Air Force
KI-Drohne bringt in Gedankenexperiment Befehlshaber um
artikel-bild
Forschung
Erstes Röntgenbild von einem einzelnen Atom
artikel-bild
Forschung oder Ölbohrung?
China gräbt ein zehn Kilometer tiefes Loch
Kommentarübersicht
Re: richtig so!
DerJustus 21. Feb 2017

Was meinste: Wird Google sich auch selbst öffentlich anzeigen? Ich glaube nicht. Ein...

Re: Google: 10 Points ...
Dieselmeister 21. Feb 2017

OT: Letztens habe ich von einem Wort aus der Finanzkrise gehört, was auch bei der...

Die Erfahrung zeigt, ohne Druck bewegt sich...
sttn 21. Feb 2017

Microsoft weiß seit mehr als 90 Tagen von diesem schwerwiegenden Fehler und macht nichts...

Re: GDI nicht nur 2016 ein Problem gewesen
hroessler 21. Feb 2017

Warum dann nicht gleich auf komplett auf DirectX bzw. Direct3D gehen? Besser noch...

Aktuell auf der Startseite von Golem.de
Forschung
Erstes Röntgenbild von einem einzelnen Atom

Bisher war die Röntgenemission eines einzelnen Atoms zu schwach, um es auf einer Röntgenaufnahme abzulichten. Mit einer neuen Technik geht das jetzt.

Forschung: Erstes Röntgenbild von einem einzelnen Atom
Artikel
  1. US Air Force: KI-Drohne bringt in Gedankenexperiment Befehlshaber um
    US Air Force  
    KI-Drohne bringt in Gedankenexperiment Befehlshaber um

    Die US Air Force und der verantwortliche Offizier stellen klar, dass es sich nur um ein Gedankenspiel handelt - und keinen echten Test.

  2. Streaming: Verbraucherschützer warnen vor Netflix-Phishing
    Streaming
    Verbraucherschützer warnen vor Netflix-Phishing

    Phishing-Nachrichten im Namen von Netflix sind nichts Neues - in der aktuellen Verwirrung rund um das Kontensharing könnten sie aber einfacher verfangen.

  3. Forschung oder Ölbohrung?: China gräbt ein zehn Kilometer tiefes Loch
    Forschung oder Ölbohrung?
    China gräbt ein zehn Kilometer tiefes Loch

    Die Bohrung im Westen Chinas soll dazu dienen, mehr über das Innere des Planeten herauszufinden - oder doch dazu, um nach Öl zu suchen?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Tiefstpreise: AMD Ryzen 9 7900X3D 534€, KFA2 RTX 3060 Ti 329,99€, Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Days of Play: PS5-Spiele & Zubehör bis -70% • Roccat PC-Zubehör bis -50% • AVM Modems & Repeater bis -36% • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /