Patch Day September 2004: Extrem kritische JPEG-Lücke

Sofortiges Patchen tut Not: Externe Angreifer können mit präparierten JPEG-Images das System kompromittieren. Dazu genügt das bloße Betrachten eines solchen Bildes in einer Mail, auf einer Website oder in einem sonstigen Dokument.

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste kritischer Bugs samt zugehörigen Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

Am aktuellen Patch Day, dem 14. September, hat Microsoft mit dem Eingeständnis einer extrem kritischen Lücke aufgewartet: Eine mit Windows XP und Server 2003 sowie einer Vielzahl von Anwendungen ausgelieferte GDI-Komponente ermöglicht den externen Systemzugriff über das bloße Betrachten von Bildern im JPEG-Format. Betroffen ist praktisch jeder Anwender, der den Internet Explorer 6 installiert hat.

Nicht ganz so gravierend, jedoch ebenfalls kritisch, fällt eine Lücke im Konverter für WordPerfect-5-Dokumente aus, den die Office-Anwendungen mitbringen. Auch hier kann der Angreifer vollen Systemzugriff erlangen.