Original-URL des Artikels: https://www.golem.de/news/windows-defender-microsoft-baut-sicherheitsluecke-bei-bug-fix-ein-1804-133689.html    Veröffentlicht: 05.04.2018 13:19    Kurz-URL: https://glm.io/133689

Windows Defender

Microsoft baut Sicherheitslücke bei Bug-Fix ein

Für seine Malware-Analyse-Engine nutzt Microsoft offenbar einen internen Fork des Werkzeugs Unrar. Beim Beheben von möglichen Sicherheitslücken hat das Team aber selbst eine eingebaut. Google hat diese Lücke gefunden und Microsoft stellt ein Update bereit.

In Malware-Analyse-Software finden sich immer wieder besonders schwere Lücken. Das gilt auch für die Malware Protection Engine (MPEngine) von Microsoft, die unter anderem ein Hauptbestandteil des Windows Defender ist. Googles Project Zero hat eine eher kuriose Sicherheitslücke in dem Werkzeug von Microsoft gefunden, denn diese ist offenbar beim Beheben von anderen Fehlern versehentlich eingebaut worden.

Das geht zumindest aus der dazugehörigen Beschreibung im Bug-Tracker bei Google hervor. Dort vermutet der Sicherheitsforscher und Entdecker der Lücke, Thomas Dullien alias Halvar Flake, dass der Code der MPEngine zum Verarbeiten von RAR-Dateien ein modifizierter Fork des ursprünglichen Open-Source-Codes des Werkzeugs unrar sei.

Darüber hinaus seien in der von Microsoft intern genutzten Version bereits einige Fehler behoben worden, indem bestimmte Variablen von vorzeichenbehafteten Ganzzahlen (signed int) zu vorzeichenlosen (unsigned) überführt worden seien. "Es scheint, dass diese Umwandlung von signed in unsigned jedoch zu einer neuen Sicherheitslücke führte", heißt es in dem Bericht.

Kritische Lücke bereits behoben

Mit Hilfe einer speziell konfigurierten RAR-Datei ermöglicht der Fehler Angreifern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE), sofern die Datei auf dem System landet und von der MPEngine analysiert wird. Das ist aber etwa schon durch das Verschicken als Anhang einer E-Mail möglich oder auch beim Hochladen der Datei auf einen Server, falls dieser mit Windows läuft. Microsoft selbst stuft die Lücke als kritisch ein.

Weitere Details zu dem Fehler mit der Bezeichnung CVE-2018-0986 sowie zu betroffenen Produkten liefert einer Übersichtsseite von Microsoft. Der Hersteller hat ein Update an seinem üblichen Patch-Dienstag bereits verteilt. Die MPEngine ab Version 1.1.14700.5 ist nicht mehr von dem Fehler betroffen.  (sg)


Verwandte Artikel:
Windows: Microsoft stuft Blockieren von Telemetrie als Bedrohung ein   
(04.08.2020, https://glm.io/150058 )
Bleedingtooth: Google und Intel warnen vor neuen Bluetooth-Lücken   
(15.10.2020, https://glm.io/151526 )
Project Zero: Windows-Virenschutz hat erneut kritische Schwachstellen   
(30.05.2017, https://glm.io/128101 )
Project Zero: Avast deaktiviert Javascript in Sicherheitssoftware   
(12.03.2020, https://glm.io/147209 )
Sicherheitslücke: 800 Zugangsdaten waren auf CSU-Webserver auslesbar   
(05.11.2020, https://glm.io/151922 )

© 1997–2020 Golem.de, https://www.golem.de/