[Warning] Kritische Sicherheitslücke in Microsoft Windows
Otmar Lendl
lendl at cert.at
Mon Jul 20 19:39:24 CEST 2015
Kritische Sicherheitslücke in Microsoft Windows
20. Juli 2015
Beschreibung
Microsoft hat ein Security Bulletin [1] veröffentlicht, das vor einer
kritischen Schwachstelle in allen aktuell unterstützten Microsoft
Windows Versionen warnt. Ein Bug im OpenType Font Parser ermöglicht es
einem Angreifer beliebigen Code mit Kernel Rechten auszuführen. Laut
Microsoft muss man davon ausgehen, dass die Information zu dieser
Schwachstelle zwar öffentlich bekannt war, dieser Bug aber noch nicht
aktiv von Angreifern ausgenützt wird.
CVE Referenz-Nummer: CVE-2015-2426
Details
Sowohl Dokumente als auch Webseiten können Schriftarten im OpenType
Format einbetten. Unter Windows werden die entsprechenden OpenType Font
files (.otf) vom Betriebssystemkernel (mittels Adobe Type Manager Font
Driver) interpretiert und angezeigt. Eine Schwachstelle in diesem Code
(siehe etwa die CERT.at Warnung vom 4. Nov. 2011) ist sehr kritisch,
da alle Gegenmaßnahmen im Userspace, wie etwa Sandboxing, DEP, ASLR,
EMET, ... umgangen werden.
Auswirkungen
Wenn ein User eine präparierte Datei öffnet oder auf eine Webseite mit
entsprechenden Schriftarten gelockt wird, dann kann der Angreifer
beliebigen Code mit Kernel Rechten auf betroffenen Systemen ausführen
und so die Kontrolle über diesen Rechner übernehmen.
Betroffene Systeme
Alle Versionen (32/64 Bit) von Microsoft Windows inklusive der Windows
Server Versionen.
Abhilfe
Microsoft hat bereits einen entsprechenden Patch [2] bereitgestellt.
Falls dieser nicht zeitnahe eingespielt werden kann, so bietet
Microsoft eine temporäre, manuelle Lösung [1] an, die die Unterstützung
von OpenType Schriftarten deaktiviert.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquellen:
Advisory von Microsoft (englisch)
[1] https://technet.microsoft.com/en-us/library/security/MS15-078
Knowledgebase Artikel (englisch)
[2] https://support.microsoft.com/en-us/kb/3079904
--
// Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150720/79d4f0f6/attachment.sig>
More information about the Warning
mailing list