24004

Eeye meldet (Sicherheits-)Lücke in Windows Vista

02.03.2007 | 10:02 Uhr |

Eeye hat ein Problem in der User Account Control von Windows Vista gemeldet. Demnach sei es möglich, die Nutzerprivilegien eines Anwenders so abzuändern, dass ein Angreifer Zugriff auf das System erlangt. Microsoft erklärte hingegen, dass es sich dabei um einen Bug und nicht um eine Sicherheitslücke handelt.

Die User Account Control (UAC) ist eine der offensichtlichsten Neuerungen von Windows Vista. Diese wurde implementiert, um Massen-Angriffe - wie etwa durch Würmer - künftig zu unterbinden. So verfügt jeder Nutzer von Windows Vista standardmäßig nur über eingeschränkte Benutzerrechte. Wird eine Aktion, beispielsweise durch einen Wurm, ausgeführt, die Administratoren-Rechte benötigt, muss der Anwender dies bestätigen und zur Sicherheit sein Admin-Kennwort eingeben. Bei diesen Aktionen handelt es sich beispielsweise um das Installieren von Treibern oder von Dateien in Systemverzeichnisse.

Das Sicherheitsunternehmen Eeye hat nun ein Problem in der UAC gemeldet , das es Angreifern ermöglichen soll, die eingeschränkten Benutzerrechte von Anwendern in Rechte auf Systemebene abzuändern. Ob sich über dieses Problem auch Remote Code ausführen lässt, ist bislang noch nicht bekannt. Eeye verneint diese Möglichkeit. Wäre dies aber möglich, wäre UAC de facto wertlos. Eeye hat Microsoft eigenen Angaben zufolge bereits am 19. Januar über das Problem informiert, detaillierte Ausführungen sollen öffentlich gemacht werden, sobald ein Patch bereit steht. Microsoft untersucht die Meldung derzeit.

In einem früheren Blog-Eintrag von Mark Russinovich , Techniker der Platform and Services Division von Microsoft, wurde bereits auf UAC und dessen Bedeutung als Sicherheits-Feature eingegangen. Demnach habe Microsoft aus Gründen der Bedienerfreundlichkeit UAC so gestaltet, dass es von vornherein Lücken aufweist. So können Anwender, die die häufigen Nachfragen des Systems nerven, UAC einfach abschalten. Aus diesem Grunde seien Bugs in UAC auch keine Sicherheitslücken, sondern lediglich mögliche Wege eines Angriffs.

Laut Russinovich soll UAC "uns dahin bringen, dass jeder Anwender als Standard-Nutzer angemeldet ist und Software unter dieser Annahme geschrieben wird".

Windows Vista FAQ: 84 Fragen und Antworten zum XP-Nachfolger (UPDATE)

0 Kommentare zu diesem Artikel
24004