RW Info:
Kritische Sicherheitslücke bei der Verarbeitung von JPEG-Bildern
Erstellt: 21.09.2004; aktualisiert: 29.09.2004
Aufgrund eines Fehlers in der JPEG-Parsing-Komponente "gdiplus.dll" kann ein manipuliertes Bild im JPG-Format einen Pufferüberlauf (Buffer Overflow) in einer Anwendung provozieren, mit dem sich der Stack überschreiben lässt. Über präparierte Bilder kann auf diese Weise Code auf dem System des Opfers ausgeführt werden.
Bei einem erfolgreichen Angriff kann auf dem betroffenen System beliebiger Code mit den Rechten des gerade angemeldeten Benutzers ausgeführt werden. Im schlimmsten Fall kann ein Angreifer die vollständige Kontrolle über ein System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern oder löschen.
Das Opfer muss ein speziell manipuliertes Bild auf dem System mit einer Applikation öffnen, welche die fehlerhafte Komponente benutzt. Dazu reicht das Lesen einer E-Mail, der Besuch einer manipulierten Webseite, die Vorschau in einem Verzeichnis auf der Festplatte oder das Betrachten eines Dokumentes mit eingebettetem Bild aus.
Laut Microsofts Bulletin MS04-028 ist eine große Zahl von Anwendungen betroffen:
* Microsoft Windows XP und Microsoft Windows XP Service Pack 1
* Microsoft Windows XP 64-Bit Edition Service Pack 1
* Microsoft Windows XP 64-Bit Edition Version 2003
* Microsoft Windows Serverª 2003.
* Microsoft Windows Server 2003 64-Bit Edition
* Microsoft Office XP Service Pack 3
* Microsoft Office XP Service Pack 2 Software in Microsoft Office XP: o Outlook® 2002 o Word 2002 o Excel 2002 o PowerPoint® 2002 o FrontPage® 2002 o Publisher 2002
* Microsoft Office 2003 Software in Microsoft Office 2003: o Outlook® 2003 o Word 2003 o Excel 2003 o PowerPoint® 2003 o FrontPage® 2003 o Publisher 2003 o InfoPathª 2003 o OneNoteª 2003
* Microsoft Project 2002 Service Pack 1 (alle Versionen)
* Microsoft Project 2003 (alle Versionen)
* Microsoft Visio 2002 Service Pack 2 (alle Versionen)
* Microsoft Visio 2003 (alle Versionen)
* Microsoft Visual Studio .NET 2002 Microsoft Visual Studio .NET 2002 - Software: o Visual Basic .NET Standard 2002 o Visual C# .NET Standard 2002 o Visual C++ .NET Standard 2002
* Microsoft Visual Studio .NET 2003 Microsoft Visual Studio .NET 2003 - Software: o Visual Basic .NET Standard 2003 o Visual C# .NET Standard 2003 o Visual C++ .NET Standard 2003 o Visual J# .NET Standard 2003
* Microsoft .NET Framework, Version 1.0, SDK Service Pack 2
* Microsoft Picture It!® 2002 (alle Versionen) * Microsoft Greetings 2002
* Microsoft Picture It!, Version 7.0 (alle Versionen)
* Microsoft Foto Designer Pro, Version 7.0
* Microsoft Picture It!, Version 9 (alle Versionen, einschließlich Picture It!- Bibliothek)
* Microsoft Digital Image Pro, Version 9
* Microsoft Digital Image Suite Version 9
* Microsoft Producer für Microsoft Office PowerPoint (alle Versionen)
* Microsoft Platform SDK Redistributable: GDI+
Betroffene Windows-Komponenten
* Internet Explorer 6 Service Pack 1
* Microsoft .NET Framework, Version 1.0, Service Pack 2
* Microsoft .NET Framework, Version 1.1
Nicht betroffene Software:
* Microsoft Windows NT Server 4.0 Service Pack 6a * Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 * Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4 * Microsoft Windows XP Service Pack 2 * Microsoft Windows 98, Windows 98 Second Edition (SE) und Windows Millennium Edition (Me) * Microsoft Office 2003 Service Pack 1 * Microsoft Office 2000 * Microsoft Visio 2003 Service Pack 1 * Microsoft Visio 2000 * Microsoft Project 2003 Service Pack 1 * Microsoft Project 2000 * Microsoft Digital Image Suite 10, Microsoft Digital Image Pro 10, Picture It! Premium 10 * Microsoft .NET Framework Version 1.1 SDK * Microsoft Works (alle Versionen)
Nicht betroffene Windows-Komponenten:
* Internet Explorer 5.01 Service Pack3 unter Windows2000 Service Pack3 * Internet Explorer 5.01 Service Pack4 unter Windows2000 Service Pack4 * Internet Explorer 5.5 Service Pack2 unter Microsoft Windows Millennium Edition * Microsoft .NET Framework, Version1.0, Service Pack3 * Microsoft .NET Framework, Version 1.1, Service Pack1 * Microsoft .NET Framework, Version 1.1, Service Pack1 für Windows Server 2003
Die in den obigen Listen aufgeführte Software wurde von Microsoft daraufhin getestet, ob sie von der Sicherheitslücke bei der Verarbeitung von JPEG-Bildern betroffen ist oder nicht. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates seitens Microsoft erhältlich, oder sie sind nicht betroffen.
Mit anderen Worten:
Sollte eine Software-Version NICHT aufgeführt sein, besteht möglicherweise trotzdem Gefahr! Denn eventuell ist das Programm zu alt, um auf die Schwachstelle getestet worden zu sein.
Besuchen Sie die Website Microsoft Support Lifecycle, um den Support-Lebenszyklus für Ihr Produkt und Ihre Version zu ermitteln. (Link "Produkt Seite") Was also ist zu tun?
Anwender können Sicherheits-Patches über die Links im Microsoft Security Bulletin MS04-028 beziehen oder über den Windows-Update-Dienst installieren.
Empfehlenswert ist die von Microsoft beschriebene Vorgehensweise zur Aktualisierung aller betroffenen Programme und Komponenten:
1. Aktualisierung des Betriebsystems mit der Windows Update-Funktion Die Windows Update-Funktion gibt dem Anwender dabei einen Überblick, welche Updates konkret für sein Betriebsystem erforderlich sind und bietet individuell für jedes System die benötigten Aktualisierungen zum Download an.
2. Aktualisierung von Microsoft Office Auf der Office Update-Website können Sie nach Updates für betroffene Office-Komponenten suchen.
3. Bildverarbeitungssoftware aktualisieren Hierzu bietet sich das von Microsoft entwickelte GDI+ Detection-Tool an. Es überprüft ein System auf Produkte, die nicht Bestandteil des Betriebssystems sind und die anfällige Komponente enthalten. Anschließend teilt es dem Benutzer die entsprechenden Download-Adressen zur Behebung der Schwachstelle mit. Der Microsoft Knowledge Base-Artikel 873374 enthält Anweisungen zum Herunterladen, sowie eine ausführliche Beschreibung des Microsoft GDI+ Erkennungsprogramms.
4. Entwicklungstools aktualisieren Falls Sie Entwicklungstools verwenden, überprüfen Sie die Liste betroffener Software. Sollten Ihre installierten Programme Aktualisierungen benötigen, verwenden Sie dann die im Microsoft Security Bulletin MS04-028 angegebenen Links zum Download.
Anmerkung: Standardmäßig enthalten die nicht betroffenen Versionen von Windows keine systemeigene Version der gefährdeten Komponente (gdiplus.dll). Wenn Sie jedoch eine der Anwendungen oder Komponenten installieren, die unter "Betroffene Softwareprogramme" oder "Betroffene Windows-Komponenten" aufgeführt ist, wird die gefährdete Komponente und mit ihr die Sicherheitslücke auf dem eigentlich nicht betroffenen Betriebssystemen installiert.
Ein zunächst nicht betroffenes System wird durch die Installation einer der oben genannten "betroffenen" Software oder Komponenten angreifbar. Hintergrund
Windows XP, Windows XP Service Pack 1 und Windows Server 2003 enthalten standardmäßig eine Version der gefährdete Komponente "gdiplus.dll". In früheren Versionen von Windows (z. B. 95/98/NT4/ME/2000) war diese Komponente jedoch nicht enthalten. Soll nun aber ein Programm, das auf diese Komponente angewiesen ist, auf einer früheren Windows-Version installiert werden, wird im Allgemeinen eine eigene Komponente für die Verarbeitung von JPG-Dateien installiert und das System damit verwundbar gemacht.
Beispiel: Auf einem Computer läuft das Betriebsystem Windows 2000 mit dem Service Pack 3. Das System ist also zunächst nicht von der Sicherheitslücke bei der Verarbeitung von JPEG-Bildern betroffen. Da jedoch Office XP auf eine eigene Komponente angewiesen ist, wird diese bei der Installation mitkopiert und anschließend verwendet. Folglich ist das System nun anfällig für die Schwachstelle und muss aktualisiert werden.
Selbst ein mit allen Sicherheits-Updates versorgtes System kann in vielen Fällen durch die Installation einer gefährdeten Software wieder unsicher gemacht werden. Die Variationen und Ausnahmen sowie detailliertere Informationen dazu finden Sie im Microsoft Security Bulletin MS04-028 im Abschnitt "Häufig gestellte Fragen (FAQs)".
Wenn Sie Office XP, Visio 2002, Project 2002, Office 2003, Visio 2003 und Project 2003 auf Ihrem PC installiert haben, ist Ihr System ohne Aktualisierung der jeweiligen Software auf jeden Fall von der Schwachstelle betroffen.
Dies gilt ausdrücklich auch für Windows XP Service Pack 2. Wie könnte ein möglicher Angriff aussehen?
Alle Programme, die JPEG-Bilder verarbeiten, können von diesem Angriff betroffen sein. Dazu gehören beispielsweise Ihr E-Mail-Programm, der Webbrowser (z. B. Internet Explorer), Office Anwendungen oder sogar Ihr Windows Explorer.
Ein Angreifer könnte eine HTML-E-Mail-Nachricht erstellen, die mit einem modifizierten Bild versehen ist. Würde nun die HTML-E-Mail-Nachricht geöffnet oder im Vorschaufenster angezeigt, käme es zur Ausführung von bösartigem Code. Auch das Anzeigen eines veränderten Bildes durch den Internet Explorer beim Besuch einer Internetseite könnte ausreichen. Genauso gut könnte ein Angreifer ein speziell gestaltetes Bild in ein Office-Dokument einbetten und dann den Benutzer zur Anzeige dieses Dokuments verleiten oder einfach ein modifiziertes Bild auf den Computer schleusen, dass dann in der Vorschau des Verzeichnisses mit dem Windows Explorer angezeigt wird. Wie gefährlich ist die Sicherheitslücke?
Die Sicherheitslücke ist auf jeden Fall ernst zu nehmen, nicht nur, weil es sich bei dem JPG-Format um eines der verbreitesten Bild-Formate überhaupt handelt. Es wird häufig auf Webseiten oder in der digitalen Fotografie verwendet und oftmals per E-Mail versendet. Neben der starken Verbreitung ist besonders gefährlich, dass viele Viren-Schutzprogramme Bilder bei ihrer Prüfung auslassen, da man bislang von ihrer Ungefährlichkeit ausging. Außerdem sind die notwendigen Aktualisierungen von Betriebsystem und Software nicht leicht von jedem ohne Probleme durchzuführen und wie bereits beschrieben, können sichere Systeme durch die Installation von unsicherer Software erneut verwundbar werden. Alles in allem ist ein Angriff wahrscheinlich, und auch die Anti-Viren-Industrie geht von einem Ausnutzen der Sicherheitslücke durch Schadprogramme aller Art aus. Die meisten haben schon ihre Viren-Ssignaturen aktualisiert. Microsoft selbst stuft die Schwachstelle als "kritisch" ein, der höchsten von 4 möglichen Stufen. Vorsichtsmaßnamen
* Lesen Sie E-Mail-Nachrichten im Text-Format, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen. Dies behebt zwar nicht die zugrundeliegende Sicherheitsschwachstelle, schützt aber vor einer möglichen Angriffsmethode. Ab Service Pack 1 können Sie Outlook Express so konfigurieren, dass alle E-Mail-Nachrichten im Nur-Text-Format angezeigt werden. Einige HTML-E-Mails werden im Nur-Text-Format nicht richtig angezeigt, aber es wird kein aktiver Inhalt in der E-Mail-Nachricht ausgeführt, wenn Sie diese Einstellung aktivieren. Gehen Sie folgendermaßen vor, um in Outlook Express Service Pack 1 alle Nachrichten im Nur-Text-Format anzuzeigen: 1. Starten Sie Outlook Express, und klicken Sie im Menü Extras auf Optionen. 2. Klicken Sie auf die Registerkarte Lesen, und aktivieren Sie unter Nachrichten lesen das Kontrollkästchen Alle Nachrichten als Nur-Text lesen. 3. Klicken Sie auf OK.
* Vergewissern Sie sich, dass Ihr Viren-Schutzprogramm Dateien mit den Endungen JPG bzw. JPEG untersucht. Selbst wenn Ihre Virensignaturen auf dem neusten Stand sind, könnte ein Schadprogramm in Form einer JPG-Datei auf Ihren Computer gelangen. Denn viele Virenscanner beziehen in ihre Suche lediglich besonders gefährdete Dateien (.exe, .com, .vbs, etc.) ein. Sollten JPG-Dateien nicht auf der Liste der zu prüfenden Dateien sein, fügen Sie die Endung hinzu oder lassen Sie alle Datei-Typen untersuchen. Bei Fragen zur Konfiguration wenden Sie sich bitte an Ihren Anti-Viren-Hersteller. Zum Test steht ein speziell präpariertes Bild zum Herunterladen bereit, auf das ein richtig konfiguriertes und aktuelles Viren-Schutzprogramm reagieren sollte. Name: BSI-JPG-TEST.JPG (als zip-Datei, Kennwort: bsi-jpg) Größe: 19.353 Bytes
Aktualisierung (29.09.2004)
Bei der Verarbeitung von JPEG-Dateien im Internet Explorer kommt es zu einem zusätzlichen Problem:
JPEG-Grafiken, die aus dem Internet geladen werden, werden vom Browser schon angezeigt, bevor sie als Datei in den sogenannten Cache gespeichert werden. Zu diesem Zeitpunkt liegt noch keine Datei zur Überprüfung durch ein Virenschutzprogramm vor. Erst nach der Anzeige im Browser (Verarbeitung) schreibt der Browser die Datei in den Bereich der temporären Internet-Dateien. Als Datei kann sie zu diesem Zeitpunkt vom Viren-Schutzprogramm durchsucht werden. Die Viren-Warnung kommt prompt - aber zu spät.
Weiterhin spielt der Name der Grafik-Datei keine Rolle. JPEG-Dateien brauchen nicht die Erweiterung .JPG. Der Internet Explorer erkennt am Inhalt, dass es sich um eine JPEG-Grafik handelt und zeigt sie sofort an.
Der momentan einzige, wirksame Schutz ist ein vollständig aktualisiertes System.
© 2022 by rainer wagner