Zweifel an Microsofts Sicherheits-Versprechen

Wie nun bekannt geworden ist, wurde Microsoft bereits am 7. Oktober 2003, pikanterweise lediglich zwei Tage vor Bekanntgabe Microsofts neuer Strategie im Umgang mit Sicherheitslücken, über das Sicherheitsproblem bezüglich eines Pufferüberlaufs im Code zur Anzeige von JPEG-Bildern informiert.

Dass der seit knapp einer Woche zum Download bereitstehende Patch somit erst ein knappes Jahr nachdem Microsoft von dieser Sicherheitslücke in Kenntnis gesetzt wurde erschien, lässt Zweifel an der Richtigkeit von Microsofts Versprechen aufkommen, sich zukünftig intensiver mit der Sicherheit der eigenen Anwendungen auseinandersetzen zu wollen.

Das Ausmaß der JPEG-Sicherheitslücke verdeutlicht ein Blick auf Microsofts Website. Es sind etliche Produkte, wie unter anderem Windows XP, Windows Server 2003, Internet Explorer, Office XP, Office 2003, Visual Sudio .NET und das .NET Framework betroffen. Allein durch die Anzeige eines JPEG-Bildes im Internet Explorer oder in dem E-Mail-Client Outlook, welcher zur Darstellung von HTML auf den Internet Explorer zurückgreift, können entsprechend präparierte JPEG-Bilder einen Pufferüberlauf hervorrufen und somit beliebigen Programmcode ausführen, welcher dann im Sicherheitskontext des angemeldeten Benutzers, unter Windows also standardmäßig dem Administrator, ausgeführt wird.

Die E-Mail an die Mailingliste „Full Disclosure“ von Nick DeBaggis, dem Entdecker der Sicherheitslücke, enthält weitere technische Details.