Schwere JPEG-Schwachstelle in Windows schon länger bekannt

29. September 2004, 15:04
posten

Lücke erst letzte Woche beseitigt - Entdecker spricht von erster Meldung bereits im Oktober 2003

Der Softwarekonzern Microsoft hat am letzten "Patch Day" das Microsoft Security Bulletin MS04-028 veröffentlicht - der WebStandard berichtete; dieses schließt eine schwere JPEG-Schwachstelle in Windows. Nun meldet der Entdecker der Schwachstelle, dass er diese bereits im Oktober 2003 gemeldet habe.

Elf Monate - oder doch mehr?

Im Security Bulletin wurde Nick DeBaggis als Entdecker der Schwachstelle gemeldet. DeBaggis fand heraus, dass sich über JPEG-Bilder auch Code in Windows-Systeme und Applikationen einschleusen und starten lässt. Laut einer Meldung bei Securityfocus wurde die Lücke aber schon im Oktober 2003 entdeckt. Noch ist unklar, ob Microsoft schon ab diesem Zeitpunkt von der Lücke wusste. Laut eigenen Angaben meldete DeBaggis allerdings schon am 7. Oktober 2003 die Schwachstelle bei Microsoft. In den Sicherheitsmailing-Listen Full Disclosure und Bugtraq wurde gemeldet, dass die Sicherheitslücke sogar noch länger bekannt gewesen sei. Microsoft hätte demnach mehr als 11 Monate für das Stopfen der Lücke benötigt.

2002 - oder doch 2000

In Expertenkreisen wird heftigst über diese Schwachstelle und die Dauer bis zum Stopfen der Lücke diskutiert. So meldet ein Posting des Entwicklers Cassidy Macfarlane bei Securityfocus, wie er mit einem manipulierten Bild unter Windows XP Buffer Overflows reproduzierbar erzeugte - dieses Posting wurde am 7. September 2002 veröffentlicht. Das benutzte Test-Bild wiederum stammte aus dem Securityfocus-Exploit-Archiv und diente eigentlich zur Demonstration einer Schwachstelle im Web-Browser Netscape. Diese Netscape-Schwachstelle entspricht exakt der nun gestopften Microsoft-Lücke, doch wurde der Fehler in Netscape bereits im Jahr 2000 gemeldet und veröffentlicht.(red)

Share if you care.