Abo
  • IT-Karriere:

Windows Defender: Microsoft baut Sicherheitslücke bei Bug-Fix ein

Für seine Malware-Analyse-Engine nutzt Microsoft offenbar einen internen Fork des Werkzeugs Unrar. Beim Beheben von möglichen Sicherheitslücken hat das Team aber selbst eine eingebaut. Google hat diese Lücke gefunden und Microsoft stellt ein Update bereit.

Artikel veröffentlicht am ,

In Malware-Analyse-Software finden sich immer wieder besonders schwere Lücken. Das gilt auch für die Malware Protection Engine (MPEngine) von Microsoft, die unter anderem ein Hauptbestandteil des Windows Defender ist. Googles Project Zero hat eine eher kuriose Sicherheitslücke in dem Werkzeug von Microsoft gefunden, denn diese ist offenbar beim Beheben von anderen Fehlern versehentlich eingebaut worden.

Stellenmarkt
  1. Stadtwerke Duisburg AG, Duisburg
  2. Hays AG, Mannheim

Das geht zumindest aus der dazugehörigen Beschreibung im Bug-Tracker bei Google hervor. Dort vermutet der Sicherheitsforscher und Entdecker der Lücke, Thomas Dullien alias Halvar Flake, dass der Code der MPEngine zum Verarbeiten von RAR-Dateien ein modifizierter Fork des ursprünglichen Open-Source-Codes des Werkzeugs unrar sei.

Darüber hinaus seien in der von Microsoft intern genutzten Version bereits einige Fehler behoben worden, indem bestimmte Variablen von vorzeichenbehafteten Ganzzahlen (signed int) zu vorzeichenlosen (unsigned) überführt worden seien. "Es scheint, dass diese Umwandlung von signed in unsigned jedoch zu einer neuen Sicherheitslücke führte", heißt es in dem Bericht.

Kritische Lücke bereits behoben

Mit Hilfe einer speziell konfigurierten RAR-Datei ermöglicht der Fehler Angreifern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE), sofern die Datei auf dem System landet und von der MPEngine analysiert wird. Das ist aber etwa schon durch das Verschicken als Anhang einer E-Mail möglich oder auch beim Hochladen der Datei auf einen Server, falls dieser mit Windows läuft. Microsoft selbst stuft die Lücke als kritisch ein.

Weitere Details zu dem Fehler mit der Bezeichnung CVE-2018-0986 sowie zu betroffenen Produkten liefert einer Übersichtsseite von Microsoft. Der Hersteller hat ein Update an seinem üblichen Patch-Dienstag bereits verteilt. Die MPEngine ab Version 1.1.14700.5 ist nicht mehr von dem Fehler betroffen.



Anzeige
Hardware-Angebote
  1. 529,00€

Nigcra 05. Apr 2018

Ah, danke für den Link, ich habe das ein wenig mit unrar-free verwechselt > GPL


Folgen Sie uns
       


Dell XPS 13 (7390) - Hands on

Das XPS 13 Convertible (7390) ist Dells neues 360-Grad-Gerät: Es nutzt Ice-Lake-Chips für doppelte Geschwindigkeit, hat ein höher auflösendes Display, eine nach oben versetzte Kamera und eine magnetisch arbeitende Tastatur.

Dell XPS 13 (7390) - Hands on Video aufrufen
Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  2. Nahverkehr Google verbessert Öffi-Navigation in Maps
  3. Google Maps-Nutzer können öffentliche Veranstaltungen erstellen

Filmkritik Apollo 11: Echte Mondlandung als packende Kinozeitreise
Filmkritik Apollo 11
Echte Mondlandung als packende Kinozeitreise

50 Jahre nach Apollo 11 können Kinozuschauer das historische Ereignis noch einmal miterleben, als wären sie live dabei - in Mission Control, im Kennedy Space Center, sogar auf der Mondoberfläche. Möglich machen das nicht etwa moderne Computereffekte, sondern kistenweise wiederentdeckte Filmrollen.
Eine Rezension von Daniel Pook

  1. Aufbruch zum Mond Die schönste Fake-Mondlandung aller Zeiten

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /