Microsoft warnt vor einer als kritisch eingestuften Schwachstelle in der Grafikschnittstelle der 64-Bit-Versionen von Windows 7 und Server 2008 R2. Das Abschalten der Aero-Oberfläche soll davor schützen.
Microsofts Sicherheitsmitteilung 2028859 spricht von einer öffentlich bekannt gemachten Schwachstelle, nennt jedoch die Quelle nicht. Offenbar ist die Anfälligkeit in Zusammenhang mit der Benutzung des Bildbetrachters Irfanview und dessen "Browse"-Funktion entdeckt worden. Eine ähnliche Funktion bieten zum Beispiel auch Xnview und andere Produkte dieses Typs. Hierbei werden Ordner mit Bildern in einer Vorschau präsentiert, wozu eine größere Zahl so genannter "Thumbnails" (kleine Vorschaubilder) generiert werden.
Der kanonische Grafiktreiber (Canonical Display Driver, GDD) von Windows 7 und Server 2008 R2 emuliert für ältere Software die Grafikschnittstelle GDI von Windows XP. Bei der Umsetzung auf die native Grafikschnittstelle der aktuellen Windows-Versionen können Fehler auftreten, die zum Absturz des GDD führen. Ein Angreifer könnte dies ausnutzen, um das System zu kompromittieren. Dazu kann es möglicherweise genügen, wenn eine Web-Seite aufgerufen wird, die eine speziell präparierte Bilddatei lädt.
Da insbesondere die 64-Bit-Ausgaben von Windows 7 und Server 2008 R2 durch Techniken wie ASLR (Address Space Layout Randomization) geschützt sind, hält Microsoft reale Angriffe aus der Ferne zumindest für sehr schwierig. Die möglichen Folgen eines erfolgreichen Angriffs reichen von lokaler Rechteausweitung über DoS (Denial of Service) bis zur Code-Einschleusung.
Microsoft entwickelt zurzeit ein Update, das diese Schwachstelle beseitigen soll. Wann es bereit gestellt wird, ist noch nicht bekannt. Bis dahin empfiehlt Microsoft die Abschaltung der Aero-Oberfläche (ab Windows 7 Home Premium enthalten). Dies geschieht unter Windows 7 über die Systemsteuerung. Hier wählen Sie unter Anpassung statt Aero ein Design aus der Gruppe "Basicdesigns und Designs mit hohem Kontrast" aus. Unter Server 2008 R2 ist Aero standardmäßig nicht installiert. (PC-Welt) (wl)