1778697

Zero-Day-Lücke in Windows veröffentlicht

05.06.2013 | 15:36 Uhr |

Ohne vorherige Meldung an Microsoft hat ein Sicherheitsforscher Details einer Schwachstelle im Kernel aller gängigen Windows-Versionen mitsamt Exploit-Code veröffentlicht. Damit kann sich selbst ein als Gast angemeldeter Benutzer Systemrechte verschaffen.

Tavis Ormandy hat mal wieder zugeschlagen. Der Google-Sicherheitsforscher hat eine Sicherheitslücke in Windows entdeckt und auf einer Mailing-Liste veröffentlicht. "Full Disclosure" ist nicht nur der Name dieser Mailing-Liste, sondern beschreibt auch eine Einstellung zum Umgang mit Sicherheitslücken. Tavis Ormandy ist bereits dafür bekannt, "volle Offenlegung" zu favorisieren und dies auch zu praktizieren – zumindest, wenn es nicht um Google-Software geht. Er gilt auch als Entdecker einer Lücke im Windows XP Hilfecenter (2010).

Bereits im März hatte Ormandy nach eigenen Angaben Details zu der Lücke veröffentlicht. Mitte Mai wandte er sich dann an die Abonnenten der Mailing-Liste und bat um Ideen, wie ein funktionierender Exploit-Pfad aussehen könnte. Ein gewisser "progrmboy" hatte die Idee, die letztlich zu einem Exploit geführt hat. Dieser erlaubt es ein Kommandozeilenfenster zu öffnen, in dem alle eingegebenen Befehle mit Systemrechten ausgeführt werden. Der Exploit-Code ist nun ebenfalls auf Full Disclosure veröffentlicht worden.

Ein Angreifer müsste zwar einen Exploit für eine zweite Lücke zur Hand haben, um erstmal Code einschleusen zu können, dieser könnte dann jedoch mit vollen Rechten des Systems statt nur denen des angemeldeten Benutzers ausgeführt werden. Ersatzweise kann auch ein bereits auf anderem Wege auf den PC gelangter Schädling die Schwachstelle nutzen, um Sicherheits-Software abzuschießen.

Im Gegensatz zu seinem Mitarbeiter Tavis Ormandy will Google auch in Zukunft zunächst den betroffenen Hersteller informieren, bevor Details zu einer neu entdeckten Sicherheitslücke veröffentlicht werden. Für kritische Lücken, die bereits ausgenutzt werden, hat Google jedoch kürzlich das Zeitfenster auf sieben Tage eingeengt . Innerhalb dieser Zeit sollte ein Hersteller zumindest Hinweise veröffentlichen, wie Benutzer das Risiko verringern können. Google will sich diese sieben Tage auch selbst zum Maßstab nehmen.

0 Kommentare zu diesem Artikel
1778697