Google veröffentlicht Exploit für kritischen Bug der Windows-Grafik-API
9. Februar auch das entsprechende Sicherheitsupdates veröffentlicht wurde und die 90-tägige Sperrfrist für die Veröffentlichung vorbei ist, folgen nun Einzelheiten zu der Schwachstelle CVE-2021-24093.
Ein Fehler in der Windows-Schnittstelle zur Textdarstellung namens Microsoft DirectWrite ist dabei der Auslöser. Die DirectWrite-API wird von den bekannten Webbrowsern wie Chrome, Firefox und Edge als Standard-Font-Rasterizer für das Rendering von Webfont-Glyphen verwendet. Da diese Webbrowser die DirectWrite-API für das Rendern von Schriftarten verwenden, kann die Sicherheitslücke von Angreifern ausgenutzt werden, um einen Zustand der Speicherkorruption auszulösen. Dieser Zustand ermöglicht es einem Angreifer dann, beliebigen Code auf den Zielsystemen auch aus der Ferne auszuführen.
Das macht die Schwachstelle auch so gefährlich. Angreifer können CVE-2021-24093 ausnutzen, indem sie ihre Opfer dazu verleiten, Websites mit entsprechend manipulierten TrueType-Schriften zu besuchen, die einen Heap-basierten Pufferüberlauf in der API-Funktion fsg_ExecuteGlyph auslösen. Das kann zum Beispiel mit einer Phishing-Kampagne passieren.
Download Windows 10: Kumulativer Patch
Die Sicherheitsforscher von Projekt Zero haben nun weitere Details zu der Schwachstelle veröffentlicht und zeigen die Übernahme mit einem Proof-of-Concept-Exploit. Der Fehler wurde bereits im November an das Microsoft Security Response Center gemeldet. Nachdem nun am Patch ist verfügbar
Microsoft hat die als kritische eingestufte Sicherheitslücke mit dem Patchday Februar 2021 für Windows 10 behoben - wer das Update also noch nicht installiert hat, sollte das schnell nachholen.Ein Fehler in der Windows-Schnittstelle zur Textdarstellung namens Microsoft DirectWrite ist dabei der Auslöser. Die DirectWrite-API wird von den bekannten Webbrowsern wie Chrome, Firefox und Edge als Standard-Font-Rasterizer für das Rendering von Webfont-Glyphen verwendet. Da diese Webbrowser die DirectWrite-API für das Rendern von Schriftarten verwenden, kann die Sicherheitslücke von Angreifern ausgenutzt werden, um einen Zustand der Speicherkorruption auszulösen. Dieser Zustand ermöglicht es einem Angreifer dann, beliebigen Code auf den Zielsystemen auch aus der Ferne auszuführen.
Das macht die Schwachstelle auch so gefährlich. Angreifer können CVE-2021-24093 ausnutzen, indem sie ihre Opfer dazu verleiten, Websites mit entsprechend manipulierten TrueType-Schriften zu besuchen, die einen Heap-basierten Pufferüberlauf in der API-Funktion fsg_ExecuteGlyph auslösen. Das kann zum Beispiel mit einer Phishing-Kampagne passieren.
Download Windows 10: Kumulativer Patch
Interessante Artikel und Links rund um die halbjährlichen Windows 10-Updates:
Thema:
Windows 10 im Preisvergleich:
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Lisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/Lenovo
Original Amazon-Preis
79,98 €
Blitzangebot-Preis
53,98 €
Ersparnis zu Amazon 33% oder 26 €
Beliebte Windows 10 Downloads
Neue Windows 10 Screenshots
Windows 10 Videos
- Windows-Startmenü: So setzt man Kachel-Gruppierungen gut ein
- Windows 10: Nervige Werbung für Microsoft-Dienste abschalten
- Xgimi Halo+: Toller Mobile-Beamer wurde noch weiter entwickelt
- Windows 10: So kann man blockierte Dateien mit Bordmitteln löschen
- Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
Beiträge aus dem Forum
-
Win 10 neu aufsetzen mit altem Key
Doodle - Gestern 13:02 Uhr -
Onedrive
cien - 22.03. 08:06 Uhr -
FujitsuEsprimo - Lautstärkeproblem
MiezMau - 21.03. 12:23 Uhr -
Rechner hängt lange im Willkommensbildschirm
deytona - 08.03. 01:13 Uhr -
Update-Problem Windows 10
Menfisk - 07.03. 18:48 Uhr
Weiterführende Links
Beliebte Windows 10 FAQ Einträge
Beliebt im Preisvergleich
- Windows:
Neue Nachrichten
- Diese Mal wirklich?: Neuer Release-Termin für iPad Pro & Air
- China will fliegende Autos mit Elektroantrieb bis 2030 kommerzialisieren
- Kommt der Apple Ring? Gerüchte über neues Apple-Wearable entflammt
- Stark reduziert: Media Markt und Saturn starten tolle Oster-Deals
- Copilot "schlechter" als ChatGPT: Microsoft gibt Nutzern die Schuld
- Notebooksbilliger: Viele Technik-Produkte wieder stark reduziert
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
Videos
Neueste Downloads
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen