Sicherheit

Gefährliche Windows-8-Lücke zu verkaufen

Freitag den 02.11.2012 um 14:35 Uhr

von Benjamin Schischka

Von Vupen gefundene Lücke wird vermutlich zu Geld gemacht.
Vergrößern Von Vupen gefundene Lücke wird vermutlich zu Geld gemacht.
© iStockphoto.com/JoKMedia
Die Sicherheitsforscher von Vupen Security wollen eine Windows-8-Lücke entdeckt haben, die Schutzmechanismen erfolgreich austrickst. Vupen verdient Geld mit dem Verkauf solcher Entdeckungen.
Via Twitter hat der Sicherheitsspezialist Vupen Security mitgeteilt, dass man angeblich eine Zero-Day-Lücke für Windows 8 und den Internet Explorer 10 gefunden habe. Eine Zero-Day-Lücke ist eine Lücke, die dem Hersteller nicht gemeldet wird. Sie kann von Angreifern genutzt werden, weil der Hersteller noch keinen Patch entwickeln konnte. Die von Vupen Security entdeckte Lücke soll Schutzmechanismen von Microsoft aushebeln – etwa ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention). Selbst die Sandbox des Internet Explorers sollen Angreifer über die Sicherheitslücke austricksen können.
 
Der besagte Tweet von Vupen Security :
Our first 0day for Win8+IE10 with HiASLR/AntiROP/DEP &
Prot Mode sandbox bypass (Flash not needed) is ready for customers.
Welcome #Windows8

Auf Deutsch: Unser erster 0day für Win8+IE10 mit HiASLR/AntiROP/DEP 6 Prot Mode Sandbox-Umgehung (Flash nicht benötigt) ist fertig für unsere Kunden. Willkomen #Windows8
 
Chaouki Bekrar, CEO von Vupen, tweetet ebenfalls zum Thema:

We welcome #Windows8 with various 0Ds combined to pwn all new
Win8/IE10 exploit mitigations. Congrats to our mitigation mitigator
@n_joly

Auf Deutsch: Wir heißen #Windows8 willkommen mit verschiedenen 0days, die alle neuen Win8/IE10-Schutzmechanismen entschärfen. Gratulation an unseren Entschärfungs-Entschärfer @n_joly
 
Angeblich will Vupen Microsoft nicht über die genaue Beschaffenheit der Sicherheitslücke unterrichten. Das Unternehmen hat Kenntnisse über Sicherheitslücken bereits in der Vergangenheit zu Geld gemacht. Zu Vupens Kunden sollen beispielsweise Interessierte aus dem Regierungssektor zählen.

Freitag den 02.11.2012 um 14:35 Uhr

von Benjamin Schischka

Kommentieren Kommentare zu diesem Artikel (0)
1623838