Patch Day September 2004: Extrem kritische JPEG-Lücke

MS04-028 - Systemzugriff über JPEG-Bilder

Eine hoch kritische Sicherheitslücke in der JPEG-Parsing-Komponente gdiplus.dll beschreibt das Microsoft Security Bulletin MS04-027. Der vorstehende Link auf die US-Version des Bulletins ist kein Flüchtigkeitsfehler, das Dokument liegt am Morgen nach dem Patch Day tatsächlich noch nicht in Deutsch vor. Angesichts der Schwere des Fehlers stellt dies eine geradezu unglaubliche Unterlassung dar, handelt es sich jedoch bei der zu Grunde liegenden Lücke um nicht weniger als eine automatische Systeminfektion über das verbreitetste Bildformat - JPEG!

Zur Kompromittierung des Systems genügt das bloße Betrachten eines entsprechend präparierten Bildes in einer E-Mail, auf einer Website oder in einem sonstigen Dokument mit einer der betroffenen Anwendungen. Auf Grund deren Vielzahl dürfte jedoch praktisch jeder Windows-XP- und Windows-Server-2003-Nutzer betroffen sein. Auch wer auf älteren Windows-Varianten den Internet Explorer 6 installiert hat, ist verwundbar. Einziger Lichtblick: Ein installierter Windows XP Service Pack 2 schützt vor Attacken, sofern nach der SP-Installation nicht noch eine der betroffenen Anwendungen (Office, Visio, Project) oder eine Third-Party-Applikation mit der verwundbaren Komponente GDI+ (etwa bei Nutzung des .NET-Frameworks) nachinstalliert wurde.

Ursache des Problems ist ein Begrenzungsfehler in gdiplus.dll, der dem Angreifer das Auslösen eines Pufferüberlaufs auf dem Stack ermöglicht. Eine erfolgreiche Attacke verschafft dem Angreifer in jedem Fall vollen Systemzugriff im Sicherheitskontext des Opfers. Für Benutzer, deren Konten mit niedrigeren Systemrechten konfiguriert sind, besteht also ein geringeres Risiko als für User, die mit Administrator-Berechtigung arbeiten.