Google veröffentlicht Exploit für kritischen Bug der Windows-Grafik-API

Das Team von Projekt Zero, Googles Zero-Day-Fehlerjagdteam, hat tech­nische Details zu einer Schwachstelle in der Windows-Grafik­komponente veröffentlicht. Mit einem Proof-of-Concept zeigt das Team dabei die Über­nahme eines Systems mit Hilfe einer TrueType-Schrift. Die Sicherheitsforscher von Projekt Zero haben nun weitere Details zu der Schwachstelle veröffentlicht und zeigen die Übernahme mit einem Proof-of-Concept-Exploit. Der Fehler wurde bereits im November an das Microsoft Security Response Center gemeldet. Nachdem nun am 9. Februar auch das entsprechende Sicherheitsupdates veröffentlicht wurde und die 90-tägige Sperrfrist für die Veröffentlichung vorbei ist, folgen nun Einzelheiten zu der Schwachstelle CVE-2021-24093.

Patch ist verfügbar

Microsoft hat die als kritische eingestufte Sicherheitslücke mit dem Patchday Februar 2021 für Windows 10 behoben - wer das Update also noch nicht installiert hat, sollte das schnell nachholen.

Ein Fehler in der Windows-Schnittstelle zur Textdarstellung namens Microsoft DirectWrite ist dabei der Auslöser. Die DirectWrite-API wird von den bekannten Webbrowsern wie Chrome, Firefox und Edge als Standard-Font-Rasterizer für das Rendering von Webfont-Glyphen ver­wendet. Da diese Webbrowser die DirectWrite-API für das Rendern von Schriftarten verwenden, kann die Sicherheitslücke von Angreifern ausgenutzt werden, um einen Zustand der Speicherkorruption auszulösen. Dieser Zustand ermöglicht es einem Angreifer dann, beliebigen Code auf den Ziel­systemen auch aus der Ferne auszuführen.

Das macht die Schwachstelle auch so gefährlich. Angreifer können CVE-2021-24093 ausnutzen, indem sie ihre Opfer dazu verleiten, Websites mit entsprechend manipulierten TrueType-Schriften zu besuchen, die einen Heap-basierten Pufferüberlauf in der API-Funktion fsg_ExecuteGlyph auslösen. Das kann zum Beispiel mit einer Phishing-Kampagne passieren.

Download Windows 10: Kumulativer Patch