Microsoft hat wie angekündigt einen vorgezogenen Patch für die kritische Sicherheitslücke bei der Verarbeitung präparierter Dateien für animierte Cursor (.ani) in zahlreichen Windows-Versionen herausgegeben. Damit schließt der Redmonder Konzern die bereits aktiv ausgenutzte Schwachstelle eine Woche vor dem offiziellen Patchday. Das Update behebt aber auch noch weitere Sicherheitslöcher. Die gravierendste Lücke, die das Update schließt, ist die von Determina entdeckte und bereits im Dezember 2006 an Microsoft gemeldete Schwachstelle beim Verarbeiten von defekten Dateien für animierte Cursor. Sie betrifft die Systembibliothek USER32.DLL der Betriebssysteme Windows NT, 2000, XP, 2003 und auch in Windows Vista. Bei ANI-Dateien handelt es sich um Multimedia-Dateien im RIFF-Format. Ähnlich wie avi-Dateien bestehen diese aus zahlreichen chunks, die jeweils einen Header und Daten enthalten. Der Header enthält vier ASCII-Zeichen sowie einen Wert, der die Größe des Datenblocks anzeigt.

Einer dieser chunks ist ein sogenannter anih-chunk, der als Datensegment einen 36 Byte langen Header für die Animation enthält. Der von Microsoft bereits Anfang 2005 behobene Fehler bei der Verarbeitung von animierten Cursorn schloss eine Lücke in der Funktion LoadCursorIconFromFileMap, die die Länge des anih-chunk nicht überprüfte, bevor sie die Daten in einen Puffer fester Größe kopiert hat. Wenn die durch den damaligen Patch eingeführte Größenprüfung erfolgreich ist, ruft LoadCursorIconFromFileMap die Funktion LoadAniIcon auf, die die restlichen chunks der ANI-Datei verarbeitet. In ihr hat Microsoft jedoch vergessen, eine Längenprüfung einzuführen. Dadurch können nachfolgende, präparierte anih-chunks den Fehler trotzdem provozieren.

In einem Test von heise Security war ein Demo-Exploit für die ANI-Sicherheitslücke nicht mehr in der Lage, in ein aktualisiertes Windows XP SP2 einzubrechen. Daher sollten alle betroffenen Anwender das Update von Microsoft, das die Lücke schließt, so schnell wie möglich einspielen. Etwaige inoffizielle Patches von Drittanbietern sollte man allerdings vorher deinstallieren.

Das Update zu Microsofts Security Bulletin MS07-017 schließt noch weitere Lücken, durch die Angreifer und lokale Nutzer ihre Rechte ausweiten oder das System zum Absturz bringen konnten. Dies konnte unter anderem durch manipulierte WMF- und EMF-Grafiken geschehen. Außerdem enthielt die Render-Engine GDI mehrere Lücken, durch die Anwender oder bösartige Anwendungen ihre Rechte erhöhen und so die komplette Kontrolle über ein System übernehmen konnten. Diese Lücken stuft Microsoft jedoch allesamt lediglich als "wichtig" oder "moderat" ein, nur der Fehler beim Verarbeiten manipulierter animierter Cursor erhält den Status "kritisch".

Microsoft äußerte sich noch nicht dazu, ob am eigentlichen Patchday-Termin am Dienstag kommender Woche weitere Updates veröffentlicht werden. Das Unternehmen will am Donnerstag dieser Woche auf der Advance-Notification-Seite ankündigen, ob und welche Updates für den regulären Patchday geplant sind. Immerhin listen einige Sicherheitsdienstleister noch mehrere kritische Sicherheitslücken in Microsoft-Produkten auf, für die es bislang noch keine Patches gibt.

Das Update kann auf Systemen mit Realtek-Soundchip und installierter Realtek-Software nach einem Neustart zu Fehlermeldungen führen, dass eine Bibliothek im Speicher verschoben wurde. Für betroffene Nutzer stellt Microsoft inzwischen einen weiteren Patch bereit, der das Problem beseitigt.

Links:
- Quelle